Siber güvenlik araştırmacıları, yeni bir modüler kötü amaçlı yazılıma dikkat çekti.TELEPÜZvirüs bulaşmış web siteleri aracılığıyla yayılıyorClickFix yemleriNisan 2026'nın sonundan beri.

Elastic Security Labs araştırmacısı Cyril François, "Kötü amaçlı yazılım tam özellikli, hafif ve modüler"saidteknik bir raporda. "C2 [komut ve kontrol] alan adlarının sayısı şu anda az olsa da, VirusTotal'a yüklenen günlük yapı hacmi ve güncellemelerin hızlı temposu, aktif gelişmeyi ve muhtemelen daha fazla büyümeyi gösteriyor."

Açıklama, onu ikinci yeni tehdit kümesi haline getiriyorSCMBAKERaracılığıyla yayılacakTıklaDüzelt, a yaygın sosyal mühendislik saldırısıBu, sahte tarayıcı hataları, yazılım güncellemeleri veya CAPTCHA doğrulamaları için masum düzeltmeler gibi görünerek kullanıcıları kötü amaçlı komutları manuel olarak çalıştırmaları için kandırır.

Tekniğin temelini pano ele geçirme adı verilen bir yaklaşım oluşturuyor. ClickFix'i kullanan web sayfaları, potansiyel bir kurbanın panosuna kötü amaçlı komut dosyaları veya komutlar enjekte ettiğinden ve bunları yapıştırmak ve çalıştırmak için talimatlar sağladığından, buna yapıştırma hırsızlığı da denir.

TELEPUZ'a bağlı ClickFix saldırı zinciri, uzak bir URL'den ikinci aşama veriyi indiren ve çalıştıran PowerShell'in yürütülmesiyle sonuçlanır. Yük, virüslü ana bilgisayarlardan hassas verileri topladığı ve ikincil kötü amaçlı yazılım dağıttığı bilinen Vidar Stealer'ın bir Go çeşididir; bu durumda, "rundll32.exe"yi kullanarak TELEPUZ'u ("telepuz.dll") başlatmaktan sorumlu olan bir aşama ikili programıdır. Hem sahneleyici hem de ana DLL ikili dosyası "hurgadatour[.]shop" etki alanından alınır.

C dilinde yazılan TELEPUZ, hafif ve modüler olup, tek başına bir geliştirici veya kodlama konusunda uzman çok küçük bir ekip tarafından geliştirildiğinin işaretlerini taşır. Tehditle ilişkili günlük VirusTotal gönderimlerinin istikrarlı hacmi, bunun muhtemelen bir hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında sunulduğunu gösteriyor.

TELEPUZ ayrıca hiçbir işlevsel amaca hizmet etmeyen çöp talimatları gibi bir dizi gizleme tekniğini de içerir.içe aktarma adı karmasıanaliz çabalarını engellemek için içe aktarmaları, dize şifrelemeyi ve dolaylı sistem çağrılarını çözmek.

Daha sonra, makinenin ikiden az CPU'ya, 2 GB'den az belleğe veya yetersiz disk alanına sahip olup olmadığı gibi donanım kısıtlamalarını doğrulayarak ve sistemin yerel ayar tanımlayıcısının (LCID) Bağımsız Devletler Topluluğu (CIS) ülkelerinin sabit kodlanmış listesi arasında olmadığından emin olarak, anti-VM ve coğrafi konum kontrolleri gerçekleştirmeye devam eder.

Bunun da ötesinde, kötü amaçlı yazılım, mevcut kullanıcı adını ve bilgisayar adını, ortak sanal alan ve kötü amaçlı yazılım araştırma tanımlayıcılarından oluşan sabit kodlu bir listeyle karşılaştırır. Bu kontrollerin amacı, korumalı alana alınmış veya sanallaştırılmış bir ortam ya da yetkisiz bir coğrafi konum tespit edilmesi durumunda yürütmeyi derhal sonlandırmaktır.

Tüm kontroller geçtikten sonra TELEPUZ güvenlik izlemeyi devre dışı bırakmak için gerekli adımları atar.kancayı açmak NTDLL, Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzünü kapatma (AMSI) ve Windows için Olay İzleme (ETW) ve üçüncü tarafları kaldırmaDll Bildirimi geri aramalar, bir uygulamanın bir DLL yüklendiğinde veya kaldırıldığında uyarı almasına olanak tanır.

Savunmadan kaçınma rutinini, hata ayıklayıcıların varlığını tespit etmeye ve onları çökertmeye yönelik kontroller takip eder. Daha sonra ana işlem kimliğini alır ve ana işlem adını "rundll32.exe" ve "svchost.exe" gibi bilinen çalıştırıcıların listesiyle karşılaştırarak doğrular. Son aşamada donanım seri numarası, bilgisayar adı ve işletim sisteminin kurulum tarihinin birleştirilmesiyle elde edilen benzersiz bir kurban tanımlayıcısı oluşturur.

François, "Başarılı oturum tanımlamasının ardından, kötü amaçlı yazılım iki eşzamanlı iş parçacığı ortaya çıkarıyor: biri kendisini yükseltmeye ve kötü amaçlı yazılımı bir hizmet olarak yüklemeye adanmış, diğeri ise C2 iletişim döngüsünü başlatmaya adanmış." dedi. "Yükleme iş parçacığı, COM yükseltme takma tekniğini kullanarak kendisini Yönetici olarak yükselterek başlar."

"Yükseltme elde edildikten sonra ve yapılandırmaya bağlı olarak TELEPUZ, ilk bulunan işlemin belirtecini şu adlardan biriyle çalarak SİSTEM ayrıcalığını elde etmeye çalışır: spoolsv.exe, msdtc.exe, WmiPrvSE.exe, svchost.exe. Daha sonra, Windows'a kötü amaçlı yazılımı yeni bir svchost.exe örneği içine yüklemesi talimatını vermek için gerekli kayıt defteri anahtarlarını oluşturarak kendisini bir hizmet olarak kaydeder."

Buna paralel olarak kötü amaçlı yazılım, C2 sunucusuyla 10 defaya kadar iletişim kurmaya çalışıyor. Bu denemelerin başarısızlıkla sonuçlanması durumunda TELEPUZ dört farklı yöntem kullanarak geri dönüş C2 adresini almaya çalışır:

  • Bir Telegram profilinin ("t[.]me/chanadarkpart") açıklamasından şifrelenmiş bir URL çıkararak. Kanal 28 Nisan 2026'da oluşturuldu.
  • Şifrelenmiş bir URL'yi bir dosyadan çıkararakSteam Topluluk profili. URL, Telegram kanalında bulunan aynı C2 adresine işaret ediyor.
  • Codebasecode[.]com etki alanı için bir DNS sorgusu çalıştırarak, yedek C2 adresini çıkarır ve şifresini çözer.
  • Şifrelenmiş bir URL'yi bir dosyadan çıkararakPoligon blockchain akıllı sözleşmesi.

TELEPUZ, isteğe bağlı TLS ile WebSockets kullanarak iletişim kurmak için C2 sunucusunu kullanır ve operatörün talimatlarını bekleyerek, Chromium tabanlı tarayıcılar için dosya numaralandırma, dosya işlemleri, tuş vuruşu günlüğü, komut yürütme, süreç yönetimi, ekran görüntüsü yakalama, web enjeksiyonu ve çerez çıkarma dahil olmak üzere çok çeşitli kötü amaçlı eylemler gerçekleştirmesine olanak tanır. Ayrıca yürütülebilir dosyaları ve DLL modüllerini indirip çalıştırabilir.

Web enjektör bileşeni ayrıca Chromium tabanlı tarayıcılara ve Mozilla Firefox'a yönelik komutları almak ve yürütmek için doğrudan C2 sunucusuyla konuşabilir. Komutlar, Chrome DevTools Protokolü (CDP) ve WebDriver BiDi protokolünden yararlanarak çerezleri çekmeyi ve tarayıcılarda rastgele JavaScript çalıştırmayı mümkün kılar.

Elastic, "Sınırlı sayıda olmaları, üretilen yüksek hacimli yapıya rağmen MaaS olduğunu düşündüğümüz şeyin hala erken aşamada olduğunu gösteriyor" dedi. "Hazırlık alanları Cloudflare tarafından korunarak gerçek barındırma konumları gizlenirken, C2 sunucularının sırasıyla Brezilya ve Hindistan'da bulunan, güvenliği ihlal edilmiş web siteleri olduğu belirlendi."

Bu makaleyi ilginç buldunuz mu? Bizi takip edinGoogle Haberler, heyecan and LinkedInyayınladığımız daha özel içeriği okumak için.