Siber Alem / Forum / Thread / 5 / Yeni-tehlike-clickfix-tuzagiyla-yayilan-moduler-zararli-yazilim-telepuz-veri-hirsizligi-ve-komut-calistirma-riskine-dikkat
thread_5.sh

Yeni Tehlike: ClickFix Tuzağıyla Yayılan Modüler Zararlı Yazılım TELEPUZ (Veri Hırsızlığı ve Komut Çalıştırma Riskine Dikkat)

0 replies 4 views Веб-безопасность
Admin
ROOT OP
Rank: Elite
Posts: 1
Rep: 1379
Joined: 2020-01
Rep Progress 1379 / 500
2026-07-16 22:55:43
Yeni Tehlike: ClickFix Tuzağıyla Yayılan Modüler Zararlı Yazılım TELEPUZ (Veri Hırsızlığı ve Komut Çalıştırma Riskine Dikkat)

Siber güvenlik araştırmacıları, Nisan 2026'nın sonlarından bu yana "ClickFix" sosyal mühendislik yöntemini kullanarak hızla yayılan TELEPUZ adında yeni ve modüler bir zararlı yazılım tespit etti. Güvenlik firması Elastic Security Labs tarafından analiz edilen bu tehlike, hafif yapısı, modüler mimarisi ve güvenlik sistemlerini atlatma yetenekleriyle dikkat çekiyor.


Saldırı Nasıl Başlıyor? ClickFix (Pastejacking) Tuzağı

TELEPUZ’un yayılma zinciri, son dönemde siber saldırganların sıkça başvurduğu ClickFix tekniğine dayanıyor.

  1. Sahte Hata veya Doğrulama: Kullanıcı, enfekte edilmiş bir web sitesini ziyaret ettiğinde karşısına sahte bir taranıcı hatası, tarayıcı güncellemesi veya CAPTCHA doğrulaması ekranı çıkıyor.
  2. Panonun Ele Geçirilmesi (Clipboard Hijacking / Pastejacking): Sistem kullanıcılara sorunu çözmek için belirli bir komutu kopyalayıp bilgisayarlarındaki terminale veya Çalıştır (Run) kutusuna yapıştırmaları gerektiğini söylüyor. Arka planda ise kullanıcının panosuna zararlı bir komut enjekte ediliyor.
  3. PowerShell İnfazı: Kullanıcı komutu manuel olarak çalıştırdığında PowerShell tetikleniyor ve zararlı yazılımın ikincil aşamasını indirmeye başlıyor.

Bulaşma Zinciri: Vidar Stealer’dan TELEPUZ’a

[Image showing malware infection chain from ClickFix to Vidar Stealer and TELEPUZ]

Saldırganlar sisteme doğrudan TELEPUZ’u yüklemek yerine çok katmanlı bir yol izliyor:

  • 1. Aşama: PowerShell script'i ilk olarak bilinen bir bilgi hırsızı olan Vidar Stealer'ın Go diliyle yazılmış bir sürümünü indiriyor. Vidar, sistemdeki hassas verileri (şifreler, tarayıcı çerezleri, kripto cüzdanları vb.) topluyor.
  • 2. Aşama: Vidar Stealer, sistemi sömürdükten sonra ikincil yük olarak bir başlatıcı (stager) indiriyor.
  • 3. Aşama: Bu başlatıcı, rundll32.exe aracılığıyla ana zararlı yazılım bileşeni olan telepuz.dll dosyasını çalıştırıyor.

TELEPUZ’un Öne Çıkan Özellikleri ve Savunma Atlatma Teknikleri

C diliyle geliştirilmiş olan TELEPUZ, oldukça hafif ancak son derece yetenekli bir yapıya sahip. Yaratıcılarının tek bir geliştirici veya küçük, yetkin bir ekip olduğu düşünülüyor. Zararlı yazılımın güvenlik yazılımlarından ve analizcilerden kaçmak için kullandığı yöntemler ise şunlar:

  • Güvenlik Mekanizmalarını Devre Dışı Bırakma: Çalıştığı anda NTDLL bağlantılarını çözer (unhooking), Windows’un zararlı yazılım tarama arayüzünü (AMSI) ve Etkinlik İzleme sistemini (ETW) kapatır. Ayrıca DLL yükleme uyarılarını engeller.
  • Gelişmiş Yetki Yükseltme (SYSTEM Privileges): Gerekli kontrolleri geçtikten sonra sistemdeki spoolsv.exe, msdtc.exe, WmiPrvSE.exe veya svchost.exe gibi kritik süreçlerin jetonlarını (token hijacking) çalarak en yüksek yetki seviyesi olan SYSTEM yetkisine ulaşmaya çalışır.
  • Çöp Kod Enjeksiyonu (Garbage Instructions): Gerçek kod aralarına işlevsiz "çöp" komutlar ekleyerek tersine mühendislik (reverse engineering) süreçlerini yavaşlatmayı amaçlar.
  • WebSockets ile C2 İletişimi: TELEPUZ, Komuta Kontrol (C2) sunucusuyla iletişim kurmak için WebSockets (TLS destekli) kullanır. Saldırganlar bu kanal üzerinden kurbana dilediği komutu gönderebilir; dosya kopyalayabilir, klavye hareketlerini kaydedebilir (keystroke logging), ekran görüntüsü alabilir veya ek modüller yükleyebilir.

Zararlı Yazılım Bir Hizmet Olarak mı Sunuluyor? (MaaS)

VirusTotal platformuna her gün yüklenen yeni TELEPUZ sürümlerinin sayısı ve güncellenme hızı, bu zararlı yazılımın MaaS (Malware-as-a-Service - Hizmet Olarak Zararlı Yazılım) modeliyle yer altı forumlarında satılmaya veya kiralanmaya başladığını gösteriyor. Henüz aktif Komuta Kontrol (C2) domain sayısı az olsa da geliştirilme hızının yüksekliği, tehdidin önümüzdeki günlerde daha geniş kitlelere ulaşacağını işaret ediyor.


Kurumlar ve Kullanıcılar İçin Alınması Gereken Önlemler

  • "Kopyala-Yapıştır" Tuzaklarına Karşı Farkındalık: Web sitelerinde çıkan "Sorunu çözmek için bu komutu PowerShell/Komut Satırına yapıştırın" yönlendirmelerine kesinlikle uyulmamalıdır.
  • PowerShell Kullanımını Kısıtlama: Kurumsal ağlarda standart kullanıcıların PowerShell ve rundll32.exe çalıştırma yetkileri kısıtlanmalı veya sıkı denetime tabi tutulmalıdır.
  • Endpoint Protection (EDR): AMSI ve ETW devre dışı bırakma girişimlerini davranışsal olarak tespit edebilen güncel EDR/XDR çözümleri tercih edilmelidir.
Awards & Badges / Madalyalar & Rozetler
Script Kiddie
Участник
Элита
Kernel Specialist
ASLR Bypass Master
Bug Hunter Elite
VIP Sponsor

Giriş Yapmanız Gerekiyor

Bu konuya yanıt yazmak için oturum açmalısınız. Siber Alem hacker topluluğunun bir parçası olun!

Thread Statistics

Views 4
Replies 0
Author Admin
Created 2026-07-16
Status
Open

Güvenlik Uyarısı

Siber Alem veritabanında paylaşılan exploitler, makaleler ve kodlar tamamen eğitim ve araştırma amaçlıdır. Sistemlerinizi korumak ve zafiyet analizleri yapmak amacıyla kullanılması hedeflenmiştir. Yasadışı faaliyetlerde kullanılması durumunda tüm sorumluluk kullanıcıya aittir.