TELEPUZ Zararlı Yazılımı: ClickFix Tuzağıyla Yayılan Yeni Tehdit Siber Güvenlik

TELEPUZ Zararlı Yazılımı: ClickFix Tuzağıyla Yayılan Yeni Tehdit

TELEPUZ, ClickFix sosyal mühendislik tuzağıyla yayılan, veri çalma ve uzaktan komut çalıştırma yeteneklerine sahip yeni bir zararlı yazılım.

Siber güvenlik araştırmacıları, Nisan 2026 sonlarından itibaren ClickFix tuzağıyla enfekte edilmiş web siteleri aracılığıyla yayılan TELEPUZ adlı yeni bir modüler zararlı yazılım tespit etti. Elastic Security Labs araştırmacısı Cyril François, yazılımın tam özellikli, hafif ve modüler olduğunu belirtti. Şu anda komuta-kontrol (C2) alan adı sayısı sınırlı olsa da, VirusTotal'a günlük olarak yüklenen yapı sayısı ve hızlı güncelleme temposu, aktif bir geliştirme sürecine ve muhtemelen büyümeye işaret ediyor.

TELEPUZ, ClickFix saldırı zincirinin bir parçası olarak PowerShell üzerinden ikinci aşama bir yük indiriyor. Bu yük, Go dilinde yazılmış bir Vidar Stealer varyantı olup, enfekte sistemlerden hassas verileri topluyor ve ardından TELEPUZ DLL'ini çalıştırmak için bir stager binary kullanıyor. Stager ve ana DLL, 'hurgadatour[.]shop' alan adından alınıyor. ClickFix, kullanıcıları sahte hata mesajları veya CAPTCHA doğrulamalarıyla kandırarak kötü amaçlı komutları manuel olarak çalıştırmaya ikna eden bir sosyal mühendislik yöntemi.

C dilinde yazılan TELEPUZ, yalnız bir geliştirici veya küçük bir ekip tarafından geliştirildiğini gösteren işaretler taşıyor. Günlük VirusTotal yüklemeleri, yazılımın hizmet olarak zararlı yazılım (MaaS) modeliyle sunulduğunu düşündürüyor. Yazılım, analizi zorlaştırmak için gereksiz komutlar, içe aktarma adı karma, dize şifreleme ve dolaylı sistem çağrıları gibi çeşitli gizleme teknikleri kullanıyor.

Gelecekte Ne Bekleniyor?

TELEPUZ, anti-VM ve coğrafi konum kontrolleri yaparak işlemci sayısı, bellek ve disk alanı gibi donanım kısıtlamalarını kontrol ediyor. Ayrıca sistemin yerel ayar tanımlayıcısını (LCID) Bağımsız Devletler Topluluğu (BDT) ülkeleri listesiyle karşılaştırıyor. Kullanıcı adı ve bilgisayar adı, yaygın sanal kutu ve zararlı yazılım araştırma tanımlayıcılarıyla karşılaştırılarak şüpheli ortamlar tespit edildiğinde yürütme durduruluyor.

Sonuç ve Değerlendirme

Kontrolleri geçen TELEPUZ, güvenlik izleme sistemlerini devre dışı bırakmak için NTDLL kancalarını kaldırıyor, AMSI ve ETW'yi kapatıyor ve üçüncü taraf DllNotification geri çağırmalarını siliyor. Ardından hata ayıklayıcıları tespit edip çökertiyor. Son aşamada, donanım seri numarası, bilgisayar adı ve işletim sistemi kurulum tarihini birleştirerek benzersiz bir kurban kimliği oluşturuyor.

Kimlik oluşturulduktan sonra, TELEPUZ iki eşzamanlı iş parçacığı başlatıyor: biri kendini yükseltip hizmet olarak kaydediyor, diğeri C2 iletişim döngüsünü başlatıyor. Yükseltme işlemi, COM yükseltme takma adı tekniğiyle Admin yetkisi alarak başlıyor ve ardından spoolsv.exe, msdtc.exe, WmiPrvSE.exe veya svchost.exe süreçlerinden birinden token çalarak SYSTEM yetkisi elde ediyor. Son olarak, Windows'un zararlı yazılımı svchost.exe örneğinde yüklemesi için gerekli kayıt defteri anahtarlarını oluşturuyor.

C2 sunucusuyla iletişim kurmak için WebSockets ve isteğe bağlı TLS kullanan TELEPUZ, dosya numaralandırma, dosya işlemleri, tuş kaydı, komut çalıştırma, süreç yönetimi, ekran görüntüsü alma, web enjeksiyonu ve Chromium tabanlı tarayıcılardan çerez çıkarma gibi çeşitli kötü amaçlı eylemler gerçekleştirebiliyor. Web enjektör bileşeni, Chrome DevTools Protocol ve WebDriver BiDi protokollerini kullanarak tarayıcılara doğrudan komut gönderebiliyor. C2 sunucularının, Cloudflare tarafından korunan barındırma alanları dışında, güvenliği ihlal edilmiş web siteleri olduğu tespit edildi.

Kaynak: thehackernews.com

Paylaş: