TELEPUZ: nowy malware rozpowszechniany przez ClickFix kradnie dane i umożliwia zdalne wykonanie poleceń - Security Bez Tabu

TELEPUZ: nowy malware rozpowszechniany przez ClickFix kradnie dane i umożliwia zdalne wykonanie poleceń

Cybersecurity news

Wprowadzenie do problemu / definicja

TELEPUZ to nowo wykryte, modułowe złośliwe oprogramowanie dla systemów Windows, które jest dystrybuowane z użyciem techniki ClickFix. Metoda ta opiera się na socjotechnice i nakłanianiu użytkownika do ręcznego uruchomienia złośliwego polecenia, zwykle pod pretekstem naprawy błędu przeglądarki, aktualizacji lub weryfikacji CAPTCHA.

W praktyce TELEPUZ łączy oszustwo wymierzone w użytkownika z wieloetapowym łańcuchem infekcji. Celem ataku jest nie tylko kradzież danych, ale również utrzymanie dostępu do systemu oraz wykonywanie poleceń zdalnych.

W skrócie

  • TELEPUZ to lekki i modularny malware napisany w języku C.
  • Kampania wykorzystuje zainfekowane strony internetowe z mechanizmem ClickFix.
  • Ofiara jest nakłaniana do uruchomienia polecenia PowerShell.
  • W łańcuchu ataku pojawia się także stealer powiązany z rodziną Vidar.
  • Malware może kraść cookies, rejestrować klawisze, wykonywać polecenia i pobierać kolejne moduły.
  • Komunikacja z infrastrukturą C2 odbywa się między innymi przez WebSocket.

Kontekst / historia

ClickFix stał się jedną z najskuteczniejszych technik inicjalnego dostępu, ponieważ przenosi część odpowiedzialności za uruchomienie ładunku na użytkownika końcowego. Zamiast klasycznego wykorzystania podatności atakujący prezentują fałszywy komunikat i instruują ofiarę, aby skopiowała oraz wkleiła gotowe polecenie do systemowego interpretera.

W przypadku TELEPUZ badacze wskazują na aktywność kampanii obserwowaną co najmniej od końca kwietnia 2026 roku. Częste pojawianie się nowych buildów oraz modułowa architektura sugerują aktywny rozwój zagrożenia i możliwość szybkiego rozszerzania jego funkcji.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od strony zawierającej przynętę ClickFix. Mechanizm wykorzystuje pastejacking, czyli podstawienie złośliwego polecenia do schowka użytkownika. Po jego uruchomieniu wykonywany jest PowerShell, który pobiera kolejny etap ataku z zewnętrznej infrastruktury.

Drugim etapem jest wariant stealera w języku Go, wiązany z rodziną Vidar. Komponent ten odpowiada za pozyskanie danych z hosta i wdrożenie kolejnego elementu, czyli programu pośredniczącego uruchamiającego bibliotekę TELEPUZ za pomocą rundll32.exe. Sam TELEPUZ działa jako lekki loader i backdoor z architekturą modułową.

Z punktu widzenia analizy technicznej szczególnie istotne są mechanizmy obfuskacji i unikania wykrycia. Malware wykorzystuje między innymi zaciemniające instrukcje, haszowanie nazw importów, szyfrowanie łańcuchów znaków oraz pośrednie wywołania systemowe. Dodatkowo prowadzi kontrolę środowiska, aby wykrywać maszyny wirtualne i sandboxy.

Sprawdzane są parametry takie jak liczba CPU, ilość pamięci RAM, dostępna przestrzeń dyskowa oraz identyfikatory regionalne systemu. TELEPUZ porównuje też nazwę użytkownika i komputera z zakodowaną listą wartości spotykanych w środowiskach analitycznych. Jeśli uzna środowisko za podejrzane, może zakończyć działanie już na wczesnym etapie.

Po przejściu testów malware wdraża techniki defense evasion. Należą do nich unhooking bibliotek systemowych, wyłączanie AMSI i ETW oraz usuwanie wybranych callbacków związanych z ładowaniem bibliotek DLL. Następnie weryfikuje proces rodzica, tworzy unikalny identyfikator ofiary i podejmuje próbę podniesienia uprawnień.

TELEPUZ wykorzystuje technikę COM elevation moniker do uzyskiwania uprawnień administracyjnych, a w części przypadków próbuje osiągnąć poziom SYSTEM przez kradzież tokenu z procesów systemowych. Następnie może rejestrować się jako usługa systemowa i uruchamiać w nowej instancji svchost.exe, co zwiększa trwałość infekcji.

Warstwa komunikacyjna opiera się na połączeniach WebSocket, opcjonalnie chronionych przez TLS. Jeśli główny serwer C2 nie odpowiada, malware może pobrać zapasowy adres z alternatywnych kanałów, takich jak profil komunikatora, profil społecznościowy, rekord DNS czy inteligentny kontrakt blockchain. Taki model utrudnia szybkie przerwanie kampanii.

Możliwości operacyjne TELEPUZ obejmują:

  • enumerację i modyfikację plików,
  • kradzież cookies z przeglądarek opartych na Chromium,
  • keylogging,
  • wykonywanie poleceń i zarządzanie procesami,
  • tworzenie zrzutów ekranu,
  • pobieranie dodatkowych modułów,
  • wstrzykiwanie treści i wykonywanie JavaScript w przeglądarkach Chromium i Firefox.

Konsekwencje / ryzyko

Zagrożenie związane z TELEPUZ należy ocenić jako wysokie. Atak nie wymaga zaawansowanego exploita, ponieważ jego skuteczność wynika przede wszystkim z manipulacji użytkownikiem. Dodatkowo malware łączy cechy stealera, backdoora i narzędzia do dalszego wdrażania ładunków.

Dla organizacji oznacza to ryzyko przejęcia sesji przeglądarkowych, utraty danych uwierzytelniających, wycieku informacji operacyjnych oraz eskalacji incydentu do poziomu trwałej kompromitacji stacji roboczej. Możliwość instalacji jako usługa, uzyskiwania wyższych uprawnień i pobierania kolejnych modułów sprawia, że TELEPUZ może pełnić rolę długotrwałego punktu dostępu dla operatora.

Rekomendacje

Organizacje powinny wdrożyć wielowarstwową ochronę przed kampaniami opartymi na ClickFix i podobnych technikach socjotechnicznych. Kluczowe znaczenie ma edukacja użytkowników, aby nie uruchamiali poleceń kopiowanych ze stron internetowych ani z fałszywych komunikatów naprawczych.

W środowiskach firmowych warto ograniczyć możliwość uruchamiania PowerShell, monitorować nietypowe wywołania rundll32.exe oraz wdrożyć telemetrykę procesów i pamięci na poziomie EDR. Istotne jest także ograniczenie lokalnych uprawnień administracyjnych i regularne poszukiwanie oznak nadużycia legalnych narzędzi systemowych.

  • monitorowanie uruchomień PowerShell po interakcji z przeglądarką,
  • wykrywanie pobierania binariów z nowych lub rzadkich domen,
  • analiza uruchamiania bibliotek DLL przez rundll32.exe w nietypowych ścieżkach,
  • detekcja prób wyłączania AMSI i ETW,
  • monitorowanie tworzenia usług systemowych przez procesy użytkownika,
  • obserwacja komunikacji WebSocket do nietypowych hostów,
  • kontrola dostępu do cookies i interfejsów automatyzacji przeglądarek.

Podsumowanie

TELEPUZ jest przykładem nowoczesnego malware’u rozwijanego z myślą o skutecznym obejściu zabezpieczeń, trwałości w systemie oraz elastycznej obsłudze przez operatora. Połączenie ClickFix, wieloetapowego łańcucha dostawy, zaawansowanych mechanizmów unikania detekcji i funkcji zdalnego sterowania czyni z niego poważne zagrożenie dla środowisk Windows.

Najważniejszy wniosek jest praktyczny: nawet bez wykorzystania luki typu RCE atakujący mogą osiągnąć wysoką skuteczność, jeśli skłonią użytkownika do wykonania pozornie niewinnego polecenia. Obrona przed TELEPUZ wymaga więc zarówno narzędzi technicznych, jak i dojrzałych procesów monitorowania, kontroli uprawnień oraz ciągłego podnoszenia świadomości pracowników.

Źródła

  1. https://thehackernews.com/2026/07/new-telepuz-malware-spreads-via.html
  2. https://www.elastic.co/security-labs/
  3. https://learn.microsoft.com/
  4. https://learn.microsoft.com/
  5. https://unit42.paloaltonetworks.com/