Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Новиот малициозен софтвер TELEPUZ се шири преку ClickFix измами за кражба на податоци и извршување команди

Истражувачите за сајбер-безбедност предупредуваат на нов модуларен малициозен софтвер наречен TELEPUZ, кој од крајот на април 2026 година се шири преку веб-страници компромитирани со ClickFix измами.

Според Cyril François, истражувач од Elastic Security Labs:

„Малициозниот софтвер е функционално богат, лесен и модуларен. Иако бројот на Command-and-Control (C2) домени засега е мал, секојдневниот број на нови примероци поставени на VirusTotal и брзото темпо на ажурирања укажуваат на активен развој и веројатно понатамошно ширење.“

Ова е втор нов кластер на закани, по SCMBANKER, што се дистрибуира преку ClickFix – широко распространета техника на социјален инженеринг која ги наведува корисниците сами да извршат злонамерни команди, претставувајќи ги како безопасни решенија за:

  • лажни грешки во интернет-прелистувачот;
  • ажурирања на софтвер;
  • CAPTCHA проверки.

Pastejacking – злоупотреба на таблата со исечоци

Во основата на ClickFix нападите е техника позната како clipboard hijacking.

Веб-страниците што ја користат оваа метода автоматски вметнуваат злонамерна команда во clipboard (таблата со исечоци) на жртвата, а потоа прикажуваат инструкции корисникот да ја залепи (paste) и да ја изврши.

Поради тоа, техниката често се нарекува и pastejacking.

Како функционира нападот?

Во нападите поврзани со TELEPUZ, ClickFix сценариото доведува до извршување на PowerShell команда.

Оваа команда:

  1. презема втора фаза од нападот од оддалечен URL;
  2. ја извршува преземената датотека.

Втората фаза претставува варијанта на Vidar Stealer, напишана на програмскиот јазик Go.

Vidar Stealer е познат по тоа што:

  • краде чувствителни информации од компромитирани системи;
  • инсталира дополнителен малициозен софтвер.

Во овој случај, тој презема stager извршна датотека, чија задача е да го стартува TELEPUZ (telepuz.dll) преку легитимната Windows алатка rundll32.exe.

И stager компонентата и главната DLL датотека се преземаат од доменот:

hurgadatour[.]shop

Лесен, но моќен модуларен малициозен софтвер

TELEPUZ е напишан на програмскиот јазик C и се одликува со:

  • мала големина;
  • модуларна архитектура;
  • богата функционалност.

Истражувачите сметаат дека најверојатно е развиен од еден програмер или многу мал тим со високо ниво на техничко знаење.

Постојаниот дневен број примероци што се појавуваат на VirusTotal укажува дека TELEPUZ најверојатно се нуди како услуга според моделот Malware-as-a-Service (MaaS).

Техники за сокривање

За да ја отежне анализата, TELEPUZ користи повеќе техники за обфускација, меѓу кои:

  • вметнување бескорисни инструкции (garbage instructions) кои немаат функционална улога;
  • хеширање на имињата на увезените функции (import name hashing);
  • шифрирање на стринговите;
  • индиректни системски повици (indirect system calls).

Овие техники значително ја усложнуваат анализата на малициозниот код и неговото откривање од страна на безбедносните алатки.

Проверки пред извршување

Пред да продолжи со нападот, TELEPUZ спроведува проверки за да утврди дали се извршува во виртуелна околина (anti-VM) и дали системот се наоѓа во одреден географски регион.

Меѓу другото, проверува дали компјутерот:

  • има помалку од 2 процесорски јадра (CPU);
  • располага со помалку од 2 GB RAM меморија;
  • има недоволен простор на дискот.

Покрај тоа, го проверува и Locale Identifier (LCID) на оперативниот систем и прекинува со извршувањето ако системот е конфигуриран за некоја од земјите на Заедницата на независни држави (CIS – Commonwealth of Independent States), кои се наоѓаат во однапред дефинирана листа во самиот малициозен код.

Покрај тоа, малициозниот софтвер го споредува тековното корисничко име и името на компјутерот со однапред дефинирана листа на чести идентификатори што се користат во sandbox околини и при истражување на малициозен софтвер.

Целта на овие проверки е веднаш да го прекине извршувањето доколку открие:

  • виртуелизирана или sandbox околина;
  • неовластена географска локација.

Откако сите проверки ќе поминат успешно, TELEPUZ презема чекори за исклучување или заобиколување на безбедносниот мониторинг преку:

  • отстранување на NTDLL hooks;
  • исклучување на Antimalware Scan Interface (AMSI);
  • исклучување на Event Tracing for Windows (ETW);
  • отстранување на известувачки повици од библиотеки на трети страни (DllNotification callbacks), кои им овозможуваат на апликациите да добиваат известувања кога некоја DLL датотека се вчитува или отстранува.

Рутината за избегнување на одбранбени механизми продолжува со проверки за присуство на debugger алатки, при што малициозниот софтвер се обидува да ги детектира и да предизвика нивно паѓање.

Потоа TELEPUZ го презема ID-то на родителскиот процес (parent process ID) и го проверува името на родителскиот процес според листа на дозволени познати процеси, како што се:

  • rundll32.exe
  • svchost.exe

Во последната фаза, малициозниот софтвер создава единствен идентификатор за жртвата (victim ID), кој се добива со комбинирање на:

  • серискиот број на хардверот;
  • името на компјутерот;
  • датумот на инсталација на оперативниот систем.

Според Cyril François:

„По успешната идентификација на сесијата, малициозниот софтвер стартува две паралелни нишки: едната е посветена на зголемување на привилегиите и инсталирање на малициозниот софтвер како сервис, а другата започнува комуникациски циклус со C2 серверот.“

Инсталациската нишка прво се обидува да добие администраторски привилегии користејќи ја техниката COM elevation moniker, која овозможува стартување на COM компоненти со повисоки привилегии.

Откако ќе добие повисоко ниво на пристап, и зависно од конфигурацијата, TELEPUZ се обидува да добие SYSTEM привилегии преку кражба на токенот (token stealing) од првиот пронајден процес со едно од следните имиња:

  • spoolsv.exe
  • msdtc.exe
  • WmiPrvSE.exe
  • svchost.exe

Потоа се регистрира како системски сервис, создавајќи ги потребните Registry клучеви со кои му наложува на Windows да го вчита малициозниот софтвер во нова инстанца на:

svchost.exe

На овој начин TELEPUZ обезбедува трајност (persistence) на заразениот систем и може повторно да се активира дури и по рестартирање на компјутерот.

Истовремено, малициозниот софтвер се обидува да воспостави комуникација со својот C2 (Command-and-Control) сервер до 10 пати.

Доколку овие обиди не успеат, TELEPUZ се обидува да ја пронајде резервната (fallback) C2 адреса преку четири различни методи:

  1. Извлекување на шифриран URL од описот на Telegram профил
    (t[.]me/chanadarkpart).
    Каналот бил креиран на 28 април 2026 година.
  2. Извлекување на шифриран URL од Steam Community профил.
    Овој URL покажува кон истата C2 адреса што е пронајдена во Telegram каналот.
  3. Извршување DNS пребарување за доменот
    codebasecode[.]com,
    при што се извлекува и дешифрира резервната C2 адреса.
  4. Извлекување на шифриран URL од Polygon blockchain smart contract.

Комуникација со C2 серверот и можности на TELEPUZ

TELEPUZ го користи C2 серверот за воспоставување комуникација преку WebSockets, со опционална поддршка за TLS шифрирање.

Откако ќе се поврзе, тој чека инструкции од операторот и може да извршува широк спектар злонамерни активности, вклучувајќи:

  • пребројување и откривање датотеки (file enumeration);
  • операции со датотеки;
  • снимање на притиснати копчиња (keylogging);
  • извршување команди;
  • управување со процеси;
  • правење снимки од екранот (screenshots);
  • веб-инјекција (web injection);
  • извлекување колачиња (cookies) од прелистувачи базирани на Chromium.

Исто така, може да:

  • презема извршни датотеки;
  • презема DLL модули;
  • ги стартува на компромитираниот систем.

Web injector компонента

Компонентата за web injection може директно да комуницира со C2 серверот за да прима и извршува команди насочени кон:

  • прелистувачи базирани на Chromium;
  • Mozilla Firefox.

Овие команди му овозможуваат на напаѓачот:

  • да краде cookies;
  • да извршува произволен JavaScript код во прелистувачот.

За тоа се злоупотребуваат:

  • Chrome DevTools Protocol (CDP);
  • WebDriver BiDi protocol.

Овие механизми му овозможуваат на малициозниот софтвер да комуницира со прелистувачите на начин сличен на автоматизирани алатки за тестирање и развој.

Рана фаза на развој на MaaS услугата

Од Elastic Security Labs наведуваат:

„Ограничениот број на идентификувани компоненти сугерира дека она што го сметаме за MaaS (Malware-as-a-Service) сè уште е во рана фаза, и покрај големиот број генерирани примероци.“

Иако домените за доставување (staging domains) се заштитени преку Cloudflare, што ја крие нивната вистинска локација за хостирање, истражувачите успеале да ги идентификуваат C2 серверите.

Според нивната анализа, C2 серверите се наоѓаат на:

  • компромитирани веб-страници во Бразил;
  • компромитирани веб-страници во Индија.

Истражувачите сметаат дека TELEPUZ сè уште е во фаза на активен развој, но неговата модуларна архитектура и способностите за кражба на податоци покажуваат дека претставува сериозна закана за заразените системи.

Извори:

  • The Hacker News – New TELEPUZ Malware Spreads via ClickFix to Steal Data and Run Commands The Hacker News