TELEPUZ Virüsü: ClickFix Taktikleriyle Yayılan Yeni Nesil Modüler Kötü Amaçlı Yazılım Siber Güvenlik

TELEPUZ Virüsü: ClickFix Taktikleriyle Yayılan Yeni Nesil Modüler Kötü Amaçlı Yazılım

TELEPUZ adlı yeni modüler kötü amaçlı yazılım, ClickFix tuzaklarıyla yayılarak veri hırsızlığı ve komut çalıştırma gibi eylemler gerçekleştiriyor.

Siber güvenlik araştırmacıları, Nisan 2026 sonlarından bu yana ClickFix tuzaklarıyla enfekte edilmiş web siteleri aracılığıyla yayılan TELEPUZ adlı yeni bir modüler kötü amaçlı yazılımı gün ışığına çıkardı. Elastic Security Labs araştırmacısı Cyril François, yazılımın tam donanımlı, hafif ve modüler olduğunu belirtti. Şu anda C2 (komuta ve kontrol) alan adı sayısı sınırlı olsa da, VirusTotal'a yüklenen günlük derleme sayısı ve hızlı güncelleme döngüsü, aktif bir geliştirme sürecine ve olası büyümeye işaret ediyor.

Bu keşif, ClickFix yöntemiyle yayılan SCMBANKER'den sonra ikinci yeni tehdit aktörü olarak öne çıkıyor. ClickFix, kullanıcıları sahte tarayıcı hataları, yazılım güncellemeleri veya CAPTCHA doğrulamaları gibi masum görünen düzeltmelerle kandırarak kötü amaçlı komutları manuel olarak çalıştırmaya zorlayan yaygın bir sosyal mühendislik saldırısıdır. Bu teknik, pano ele geçirme (clipboard hijacking) olarak da bilinen pastejacking yöntemine dayanır: web sayfaları, kurbanın panosuna kötü amaçlı betik veya komutlar enjekte eder ve bunları yapıştırıp çalıştırması için talimat verir.

TELEPUZ ile ilişkili ClickFix saldırı zinciri, PowerShell'in çalıştırılmasıyla başlar. PowerShell, uzak bir URL'den ikinci aşama yükü indirir ve çalıştırır. Bu yük, Vidar Stealer'ın Go varyantıdır ve enfekte sistemlerden hassas verileri toplamakla bilinir. Ardından, TELEPUZ'u (telepuz.dll) başlatmak için bir stager ikili dosyası kullanır. Hem stager hem de ana DLL dosyası 'hurgadatour[.]shop' alan adından alınır.

C dilinde yazılan TELEPUZ, hafif ve modüler yapısıyla dikkat çeker. Geliştiricisinin tek bir kişi veya çok küçük bir ekip olduğu düşünülmektedir. Günlük VirusTotal yüklemelerinin istikrarlı seyri, yazılımın muhtemelen hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle sunulduğunu gösteriyor. TELEPUZ, analiz çabalarını engellemek için çöp talimatlar, ithalat adı karma, dize şifreleme ve dolaylı sistem çağrıları gibi çeşitli gizleme teknikleri kullanır.

Sonuç ve Değerlendirme

Yazılım, anti-VM ve coğrafi konum kontrolleri yaparak çalışır. Donanım kısıtlamalarını (2'den az CPU, 2 GB'den az bellek veya yetersiz disk alanı) kontrol eder ve sistemin yerel ayar tanımlayıcısının (LCID) Bağımsız Devletler Topluluğu (BDT) ülkeleri listesinde olup olmadığını denetler. Ayrıca, geçerli kullanıcı adı ve bilgisayar adını, ortak korumalı alan ve kötü amaçlı yazılım araştırma tanımlayıcıları listesiyle karşılaştırır. Bu kontrollerin amacı, sanallaştırılmış veya korumalı alan ortamı ya da yetkisiz coğrafi konum tespit edilirse yürütmeyi hemen sonlandırmaktır.

Tüm kontroller geçildikten sonra TELEPUZ, güvenlik izleme mekanizmalarını devre dışı bırakmak için NTDLL'nin bağlantısını keser, Antimalware Scan Interface (AMSI) ve Event Tracing for Windows (ETW) özelliklerini kapatır ve üçüncü taraf DllNotification geri çağrılarını kaldırır. Savunma atlatma rutini, hata ayıklayıcıların varlığını kontrol eder ve onları çökertir. Ardından, üst işlem kimliğini alır ve üst işlem adını 'rundll32.exe' ve 'svchost.exe' gibi bilinen çalıştırıcılarla karşılaştırır. Son aşamada, donanım seri numarası, bilgisayar adı ve işletim sistemi kurulum tarihinin birleştirilmesiyle benzersiz bir kurban tanımlayıcısı oluşturur.

Başarılı oturum tanımlamasının ardından TELEPUZ, iki eşzamanlı iş parçacığı başlatır: biri kendini yükseltmek ve yazılımı hizmet olarak kurmak, diğeri ise C2 iletişim döngüsünü başlatmak için. Yükseltme iş parçacığı, COM yükseltme takma adı tekniğini kullanarak kendini Admin olarak yükseltir. Ardından, 'spoolsv.exe', 'msdtc.exe', 'WmiPrvSE.exe' veya 'svchost.exe' işlemlerinden birinin token'ını çalarak SYSTEM yetkisi elde etmeye çalışır. Son olarak, Windows'un yazılımı yeni bir svchost.exe örneği içinde yüklemesi için gerekli kayıt defteri anahtarlarını oluşturarak kendini hizmet olarak kaydeder.

Önemli Gelişmeler

Eş zamanlı olarak, TELEPUZ C2 sunucusuna en fazla 10 kez bağlanmaya çalışır. Başarısız olursa, yedek C2 adresini dört farklı yöntemle alır: Telegram profili açıklamasından (t[.]me/chanadarkpart) şifrelenmiş bir URL çıkarma; Steam Community profilinden şifrelenmiş URL çıkarma; codebasecode[.]com alan adı için DNS sorgusu yaparak yedek C2 adresini çözme; Polygon blokzinciri akıllı sözleşmesinden şifrelenmiş URL çıkarma. TELEPUZ, C2 sunucusuyla WebSocket (isteğe bağlı TLS) üzerinden iletişim kurar ve operatörden dosya numaralandırma, dosya işlemleri, tuş kaydı, komut çalıştırma, süreç yönetimi, ekran görüntüsü alma, web enjeksiyonu ve Chromium tabanlı tarayıcılardan çerez çıkarma gibi çok çeşitli kötü amaçlı eylemleri gerçekleştirmek için talimat bekler. Ayrıca, yürütülebilir dosyaları ve DLL modüllerini indirip çalıştırabilir. Web enjektör bileşeni, Chromium tabanlı tarayıcılar ve Mozilla Firefox'a yönelik komutları almak ve yürütmek için doğrudan C2 sunucusuyla konuşabilir. Bu komutlar, Chrome DevTools Protocol (CDP) ve WebDriver BiDi protokolünü kullanarak çerezleri sifonlayabilir ve tarayıcılarda keyfi JavaScript çalıştırabilir. Elastic, sınırlı sayıdaki C2 alan adının, yüksek derleme hacmine rağmen MaaS'in henüz erken aşamalarında olduğunu düşündürdüğünü belirtti. Staging alan adları Cloudflare tarafından korunurken, C2 sunucularının ele geçirilmiş web siteleri olduğu tespit edilmiştir.

Kaynak: thehackernews.com

Paylaş: