📰 Informação fresquinha chegando para você!

Sua opinião é importante: leia e participe!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética chamaram a atenção para um novo malware modular chamado TELEPUZ, que está se espalhando por meio de sites infectados com iscas ClickFix desde o final de abril de 2026.

“O malware é completo, leve e modular”, disse Cyril François, pesquisador do Elastic Security Labs, em um relatório técnico. “Embora o número de domínios C2 [comando e controle] seja atualmente pequeno, o volume diário de compilações carregadas no VirusTotal e o ritmo rápido de atualizações indicam desenvolvimento ativo e provável crescimento adicional.”

A divulgação o torna o segundo novo ator de ameaça, depois do SCMBANKER, a ser propagado via ClickFix, um ataque generalizado de engenharia social que engana os usuários para que executem comandos maliciosos manualmente, disfarçando-os como correções inocentes para erros falsos de navegador, atualizações de software ou verificações CAPTCHA.

A base da técnica é uma abordagem chamada sequestro de área de transferência. Como as páginas da web que usam ClickFix injetam scripts ou comandos maliciosos na área de transferência de uma vítima em potencial e fornecem instruções para colá-los e executá-los, isso também é conhecido como pastejacking.

A cadeia de ataque ClickFix vinculada ao TELEPUZ resulta na execução do PowerShell, que baixa uma carga útil de segundo estágio de uma URL remota e a executa. A carga útil é uma variante Go do Vidar Stealer, que é conhecido por coletar dados confidenciais de hosts infectados e implantar malware secundário, neste caso um binário stager responsável por iniciar o TELEPUZ ("telepuz.dll") usando "rundll32.exe". Tanto o stager quanto o binário DLL principal são recuperados do domínio "hurgadatour[.]shop".

Escrito em C, TELEPUZ é leve e modular, e apresenta sinais de que foi desenvolvido por um desenvolvedor solo ou por uma equipe muito pequena com experiência em codificação. Um volume constante de envios diários do VirusTotal associados à ameaça sugere que ela provavelmente é oferecida sob um modelo de malware como serviço (MaaS).

O TELEPUZ também incorpora uma série de técnicas de ofuscação, como instruções de lixo que não servem a nenhum propósito funcional, hashing de nomes de importação para resolver importações, criptografia de strings e chamadas indiretas de sistema, para frustrar os esforços de análise.

Em seguida, ele realiza verificações anti-VM e de geolocalização, verificando as restrições de hardware, como se a máquina tem menos de duas CPUs, menos de 2 GB de memória ou espaço em disco insuficiente, e garantindo que o identificador de localidade do sistema (LCID) não esteja entre uma lista codificada de países da Comunidade de Estados Independentes (CEI).

Além disso, o malware compara o nome de usuário atual e o nome do computador com uma lista codificada de identificadores comuns de sandbox e pesquisa de malware. O objetivo dessas verificações é encerrar a execução imediatamente se um ambiente em área restrita ou virtualizado, ou uma localização geográfica não autorizada, for detectada.

Depois que todas as verificações forem aprovadas, a TELEPUZ toma medidas para desabilitar o monitoramento de segurança, desengatando o NTDLL, desativando a Antimalware Scan Interface (AMSI) e o Event Tracing for Windows (ETW) e removendo retornos de chamada DllNotification de terceiros, que permitem que um aplicativo receba alertas quando uma DLL é carregada ou descarregada.

A rotina de evasão de defesa é seguida por verificações para detectar a presença de depuradores e travá-los. Em seguida, ele busca o ID do processo pai e valida o nome do processo pai em uma lista de executores conhecidos, como “rundll32.exe” e “svchost.exe”. Na fase final, gera um identificador exclusivo da vítima, derivado da concatenação do número de série do hardware, do nome do computador e da data de instalação do sistema operacional.

“Após a identificação bem-sucedida da sessão, o malware gera dois threads simultâneos: um dedicado a se elevar e instalar o malware como um serviço, e outro para iniciar o ciclo de comunicação C2”, disse François. "O thread de instalação começa elevando-se como Admin usando a técnica de moniker de elevação COM."

"Ao atingir a elevação e dependendo da configuração, o TELEPUZ tenta em seguida obter o privilégio SYSTEM roubando o token do primeiro processo encontrado com um dos seguintes nomes: spoolsv.exe, msdtc.exe, WmiPrvSE.exe, svchost.exe. Em seguida, ele se registra como um serviço criando as chaves de registro necessárias para instruir o Windows a carregar o malware em uma nova instância svchost.exe. "

Paralelamente, o malware tenta estabelecer contato com seu servidor C2 até 10 vezes. Se essas tentativas falharem, o TELEPUZ tenta buscar o endereço C2 substituto usando quatro métodos diferentes -

Ao extrair um URL criptografado da descrição de um perfil do Telegram ("t[.]me/chanadarkpart"). O canal foi criado em 28 de abril de 2026.

Extraindo um URL criptografado de um perfil da Comunidade Steam. A URL aponta para o mesmo endereço C2 encontrado no canal Telegram.

Ao executar uma consulta DNS para o domínio codebasecode[.]com, ele extrai
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #novo #malware #telepuz #se #espalha #via #clickfix #para #roubar #dados #e #executar #comandos
🔔 Siga-nos para não perder nenhuma atualização!

Post a Comment