新型 TELEPUZ 恶意软件通过 ClickFix 传播,窃取数据并执行命令

新型 TELEPUZ 恶意软件通过 ClickFix 传播,窃取数据并执行命令

导语:网络安全研究人员披露了一款名为 TELEPUZ 的新型模块化恶意软件,该软件自 2026 年 4 月下旬以来通过感染 ClickFix 诱饵的网站进行传播,其攻击链最终执行 PowerShell 并下载 Vidar Stealer 的 Go 变种作为第二阶段载荷。

网络安全研究人员披露了一款名为 TELEPUZ 的新型模块化恶意软件,该软件自 2026 年 4 月下旬以来通过感染 ClickFix 诱饵的网站进行传播。Elastic 安全实验室研究员 Cyril François 在一份技术报告中指出:"该恶意软件功能齐全、轻量级且模块化。尽管目前 C2[命令与控制] 域数量较少,但每天上传到 VirusTotal 的构建数量和快速的更新节奏表明该恶意软件正在积极开发,并且可能进一步增长。"

此次披露使 TELEPUZ 成为继 SCMBANKER 之后第二款通过 ClickFix 传播的新威胁。ClickFix 是一种广泛存在的社会工程攻击,它通过将恶意命令伪装成虚假的浏览器错误修复、软件更新或 CAPTCHA 验证,诱骗用户手动运行这些命令。该技术的核心是一种称为剪贴板劫持(clipboard hijacking)的方法。由于使用 ClickFix 的网页会将恶意脚本或命令注入潜在受害者的剪贴板,并提供粘贴并运行这些命令的说明,因此该技术也被称为 pastejacking(粘贴劫持)。

与 TELEPUZ 关联的 ClickFix 攻击链最终会执行 PowerShell,从远程 URL 下载第二阶段载荷并执行。该载荷是 Vidar Stealer 的 Go 语言变种,该窃密木马以从受感染主机中收集敏感数据并部署次级恶意软件而闻名。在本次攻击中,第二阶段会部署一个 stager(分段加载器)二进制文件,该加载器负责使用 "rundll32.exe" 来启动 TELEPUZ("telepuz.dll")。stager 和主 DLL 二进制文件均从 "hurgadatour[.]shop" 域检索获得。

TELEPUZ 使用 C 语言编写,轻量级且模块化,并展现出由单一开发者或具备专业编码能力的极小团队开发的特征。VirusTotal 上与该威胁相关的每日稳定提交量表明,它可能以恶意软件即服务(MaaS)的模式提供。TELEPUZ 还采用了多种混淆技术,例如插入无用指令(garbage instructions)、导入名称哈希解析导入、字符串加密以及间接系统调用,以阻碍分析工作。

原文配图

随后,该恶意软件会执行反虚拟机(anti-VM)和地理位置检查,验证硬件限制,例如机器 CPU 数量是否少于 2 个、内存是否小于 2GB 或磁盘空间是否不足,并确保系统的区域设置标识符(LCID)不在硬编码的独立国家联合体(CIS)国家列表中。除此之外,恶意软件还会将当前用户名和计算机名与硬编码的常见沙箱和恶意软件研究标识符列表进行比较。这些检查的目的是在检测到沙箱或虚拟化环境,或未经授权的地理位置时立即终止执行。

一旦所有检查通过,TELEPUZ 便会采取措施禁用安全监控,包括取消 NTDLL 的挂钩、关闭反恶意软件扫描接口(AMSI)和 Windows 事件跟踪(ETW),以及移除第三方的 DllNotification 回调(该回调允许应用程序在 DLL 被加载或卸载时接收告警)。防御规避流程之后是检测调试器并使其崩溃的检查。随后,它获取父进程 ID,并将父进程名称与已知运行程序的列表进行验证,例如 "rundll32.exe" 和 "svchost.exe"。在最后阶段,它会生成一个唯一的受害者标识符,该标识符由硬件序列号、计算机名和操作系统的安装日期拼接而成。

François 表示:"在会话标识成功后,恶意软件会派生两个并发线程:一个线程负责提升自身权限并将恶意软件安装为服务,另一个线程负责启动 C2 通信循环。安装线程首先使用 COM 提权 moniker 技术将自身提升为管理员。""在成功提权后,根据配置,TELEPUZ 接下来会通过窃取以下名称之一的进程的令牌来获取 SYSTEM 权限:spoolsv.exe、msdtc.exe、WmiPrvSE.exe、svchost.exe。然后,它通过创建必要的注册表项来指示 Windows 在新的 svchost.exe 实例中加载该恶意软件,从而将自身注册为服务。"

与此同时,恶意软件会尝试与其 C2 服务器建立联系,最多尝试 10 次。如果这些尝试均失败,TELEPUZ 会使用四种不同的方法获取备用 C2 地址。Elastic 指出:"其数量有限表明我们认为的 MaaS 仍处于早期阶段,尽管生成的构建数量很高。虽然分段加载域(staging domains)受 Cloudflare 保护以隐藏其真实托管位置,但 C2 服务器已被确认为分别位于巴西和印度的被入侵网站。"


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/new-telepuz-malware-spreads-via.html

作者:info@thehackernews.com (The Hacker News)