Yeni TELEPUZ Kötü Amaçlı Yazılımı ClickFix ile Yayılıyor: Veri Çalma ve Komut Çalıştırma Dünya Geneli

Yeni TELEPUZ Kötü Amaçlı Yazılımı ClickFix ile Yayılıyor: Veri Çalma ve Komut Çalıştırma

Nisan 2026'dan beri yayılan TELEPUZ, ClickFix tuzaklarıyla kullanıcıları hedef alıyor. C dilinde yazılan bu modüler yazılım, veri çalma ve uzaktan kom

Siber güvenlik araştırmacıları, Nisan 2026'nın sonlarından itibaren ClickFix tuzaklarıyla enfekte edilmiş web siteleri aracılığıyla yayılan yeni bir modüler kötü amaçlı yazılım olan TELEPUZ'a karşı uyarıda bulundu. Elastic Security Labs araştırmacısı Cyril François, yazılımın tam özellikli, hafif ve modüler olduğunu belirtti. Henüz C2 (komuta ve kontrol) alan adı sayısı az olsa da, VirusTotal'a günlük yüklenen bina sayısı ve hızlı güncelleme temposu, aktif geliştirme ve olası bir büyümeye işaret ediyor.

TELEPUZ, ClickFix yöntemiyle yayılan SCMBANKER'dan sonra ikinci yeni tehdit kümesi olarak öne çıkıyor. ClickFix, kullanıcıları sahte tarayıcı hataları, yazılım güncellemeleri veya CAPTCHA doğrulamaları gibi masum görünen düzeltmelerle kandırarak kötü amaçlı komutları manuel olarak çalıştırmaya ikna eden yaygın bir sosyal mühendislik saldırısıdır. Bu tekniğin temelinde pano ele geçirme (clipboard hijacking) adı verilen bir yaklaşım yatıyor. ClickFix kullanan web sayfaları, potansiyel kurbana kötü amaçlı betik veya komutları panoya enjekte ediyor ve kullanıcıya bunları yapıştırıp çalıştırması için talimat veriyor. Bu nedenle bu yönteme pastejacking de deniyor.

TELEPUZ ile ilişkili ClickFix saldırı zinciri, PowerShell'in çalıştırılmasıyla başlıyor. PowerShell, uzak bir URL'den ikinci aşama bir yük indirip çalıştırıyor. Bu yük, Vidar Stealer'ın Go varyantı olup, enfekte sistemlerden hassas verileri toplamak ve ikincil kötü amaçlı yazılımları dağıtmakla biliniyor. Bu durumda, TELEPUZ'u ('telepuz.dll') başlatmak için 'rundll32.exe' kullanan bir stager ikili dosyası devreye giriyor. Hem stager hem de ana DLL ikili dosyası 'hurgadatour[.]shop' alan adından alınıyor.

C dilinde yazılan TELEPUZ, hafif ve modüler yapısının yanı sıra, tek bir geliştirici veya kodlama konusunda uzman çok küçük bir ekip tarafından geliştirildiğine dair işaretler taşıyor. Günlük VirusTotal gönderimlerinin istikrarlı hacmi, bu tehdidin büyük olasılıkla hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle sunulduğunu gösteriyor. TELEPUZ ayrıca, işlevsel bir amacı olmayan çöp talimatlar, içe aktarma adı karmalama, dize şifreleme ve dolaylı sistem çağrıları gibi çok sayıda gizleme tekniği kullanarak analiz çabalarını engelliyor.

Sonuç ve Değerlendirme

Kötü amaçlı yazılım, daha sonra anti-VM ve coğrafi konum kontrolleri gerçekleştiriyor. Bunun için makinenin iki CPU'dan az, 2 GB'tan az bellek veya yetersiz disk alanına sahip olup olmadığını kontrol ediyor ve sistemin yerel ayar tanımlayıcısının (LCID) Bağımsız Devletler Topluluğu (BDT) ülkelerinin sabit kodlanmış listesinde olup olmadığını doğruluyor. Ayrıca, geçerli kullanıcı adını ve bilgisayar adını, ortak kum havuzu ve kötü amaçlı yazılım araştırma tanımlayıcılarının sabit kodlanmış bir listesiyle karşılaştırıyor. Bu kontrollerin amacı, kum havuzu veya sanallaştırılmış bir ortam ya da yetkisiz bir coğrafi konum tespit edilirse yürütmeyi derhal sonlandırmak.

Tüm kontroller geçildikten sonra TELEPUZ, NTDLL'nin bağlantısını kaldırarak, Antimalware Scan Interface (AMSI) ve Windows için Olay İzleme (ETW) özelliklerini kapatarak ve üçüncü taraf DllNotification geri çağrılarını kaldırarak güvenlik izlemeyi devre dışı bırakma adımlarını atıyor. Savunma atlatma rutininin ardından, hata ayıklayıcıların varlığını tespit etme ve onları çökertme kontrolleri geliyor. Ardından üst süreç kimliğini alıyor ve üst süreç adını 'rundll32.exe' ve 'svchost.exe' gibi bilinen çalıştırıcıların listesine karşı doğruluyor. Son aşamada, donanım seri numarası, bilgisayar adı ve işletim sisteminin kurulum tarihinin birleştirilmesiyle oluşturulan benzersiz bir kurban tanımlayıcısı oluşturuyor.

Başarılı oturum tanımlamasının ardından kötü amaçlı yazılım, iki eşzamanlı iş parçacığı oluşturuyor: biri kendisini yükseltmeye ve yazılımı bir hizmet olarak yüklemeye, diğeri ise C2 iletişim döngüsünü başlatmaya adanmış. Yükleme iş parçacığı, COM yükseltme adını kullanarak kendisini Admin olarak yükselterek başlıyor. Yükseltme sağlandıktan sonra ve yapılandırmaya bağlı olarak TELEPUZ, 'spoolsv.exe', 'msdtc.exe', 'WmiPrvSE.exe', 'svchost.exe' adlarından birine sahip ilk bulunan işlemin token'ını çalarak SYSTEM ayrıcalığı elde etmeye çalışıyor. Ardından, Windows'u yeni bir svchost.exe örneğinde yazılımı yüklemesi için yönlendiren gerekli kayıt defteri anahtarlarını oluşturarak kendisini bir hizmet olarak kaydediyor.

Nasıl Önlem Alınmalı?

Eşzamanlı olarak kötü amaçlı yazılım, C2 sunucusuyla 10 defaya kadar bağlantı kurmaya çalışıyor. Bu denemeler başarısız olursa, TELEPUZ dört farklı yöntem kullanarak yedek C2 adresini almaya çalışıyor: Bir Telegram profilinin ('t[.]me/chanadarkpart') açıklamasından şifrelenmiş bir URL çıkarma (kanal 28 Nisan 2026'da oluşturulmuş); bir Steam Community profilinden şifrelenmiş bir URL çıkarma (URL, Telegram kanalındakiyle aynı C2 adresine işaret ediyor); 'codebasecode[.]com' alan adı için bir DNS sorgusu çalıştırarak yedek C2 adresini çıkarma ve şifresini çözme; bir Polygon blockchain akıllı sözleşmesinden şifrelenmiş bir URL çıkarma. TELEPUZ, isteğe bağlı TLS ile WebSockets kullanarak C2 sunucusuyla iletişim kuruyor ve operatörden gelen talimatları bekliyor. Bu sayede dosya numaralandırma, dosya işlemleri, tuş kaydı, komut yürütme, süreç yönetimi, ekran görüntüsü yakalama, web enjeksiyonu ve Chromium tabanlı tarayıcılar için çerez çıkarma gibi çok çeşitli kötü amaçlı eylemler gerçekleştirebiliyor. Ayrıca yürütülebilir dosyaları ve DLL modüllerini indirip çalıştırabiliyor.

Kaynak: thehackernews.com

Paylaş: