Image by Danny Burke, from Unsplash
I Hacker Utilizzano uno Strumento Microsoft per Infiltrarsi nell’Infrastruttura di Petrolio e Gas
Tempo di lettura: 2 Min.
Ultimo aggiornamento: Jun 30, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
I ricercatori hanno scoperto una silenziosa campagna di malware che attacca i sistemi energetici attraverso l’offuscamento cloud di Microsoft ClickOnce e il potente backdoor noto come RunnerBeacon
Di fretta? Ecco i fatti essenziali:
- OneClik prende di mira le industrie dell’energia, del petrolio e del gas attraverso phishing e malware.
- Il malware si nasconde in Microsoft ClickOnce per eludere gli avvisi degli utenti.
- Il backdoor RunnerBeacon utilizza il cloud di Amazon per evitare il rilevamento.
Il team di ricerca di Trellix ha identificato un nuovo cyberattacco denominato “OneClik”, che utilizza metodi sofisticati per infiltrarsi nei sistemi di sicurezza delle aziende di energia e petrolio e gas.
Gli aggressori utilizzano email di phishing per lanciare attacchi che sfruttano l’applicazione Microsoft ClickOnce per ingannare gli utenti facendoli installare software dannosi attraverso un falso strumento di analisi hardware.
La vittima apre il link che innesca il download di un falso strumento prima che ‘‘dfsvc.exe’’ lo esegua. Il legittimo processo di Windows accetta malware nascosto attraverso tecniche di programmazione avanzate.
Una volta all’interno, il malware installa un retroaccesso chiamato “RunnerBeacon”, che si collega silenziosamente a server controllati da hacker mascherati come servizi cloud di Amazon, rendendolo praticamente impossibile da rilevare.
I ricercatori osservano che il RunnerBeacon, scritto nel linguaggio di programmazione Go, è estremamente avanzato. Infatti, può eseguire comandi, rubare file, prendere il controllo del traffico di rete e persino nascondersi dagli investigatori utilizzando strumenti anti-debugging e controlli di sistema.
Le ricercatrici riferiscono che il malware si evolve attraverso tre versioni, con ciascuna nuova che migliora la sua capacità di evitare il rilevamento, incluso la scansione per verificare se sta funzionando in un ambiente virtuale sicuro.
L’infrastruttura di OneClik è progettata per integrarsi con il traffico cloud legittimo. I servizi Amazon CloudFront e Lambda operano come strumenti di rete aziendale di fiducia per nascondere le comunicazioni del malware.
Inoltre, l’approccio “vivere della terra” consente capacità elusive integrandosi nelle attività digitali quotidiane, il che rende la rilevazione più difficile.
I ricercatori affermano di non poter confermare l’identità dietro a OneClik, tuttavia, l’operazione cyber dimostra una strategia sofisticata prolungata che prende di mira i sistemi di infrastruttura critica.
Storia precedente
Ultimi articoli 
