Malware Modular TELEPUZ Usa Técnica ClickFix e Evasão de AMSI para Comprometer Windows

Malware Modular TELEPUZ Usa Técnica ClickFix e Evasão de AMSI para Comprometer Windows

Nova ameaça escrita em C combina engenharia social via área de transferência, desativação de defesas e escalonamento de privilégios para estabelecer persistência e comunicação flexível com C2.

ComponenteMalware TELEPUZ (telepuz.dll), stager, variante Go do Vidar Stealer, técnica ClickFix (pastejacking).
VetorSites comprometidos injetam comandos maliciosos na área de transferência; usuários são enganados a colar e executar o código no terminal.
ImpactoRoubo de dados sensíveis, execução remota de comandos, instalação persistente como serviço, elevação de privilégios para SYSTEM e desativação de telemetria de segurança.
PrioridadeBloqueio dos domínios hurgadatour[.]shop e codebasecode[.]com, monitoramento de execuções suspeitas do comando operacional omitido e tentativas de desvio de AMSI/ETW.
Resumo técnico

Pesquisadores de segurança identificaram uma nova família de malware modular, denominada TELEPUZ, que está ativa desde o final de abril de 2026. Escrito em linguagem C, o código é caracterizado por ser leve e altamente modular, sugerindo desenvolvimento contínuo e possivelmente operado sob um modelo de Malware-as-a-Service (MaaS). A ameaça se destaca pela utilização da técnica de infecção ClickFix, também conhecida como pastejacking ou sequestro de área de transferência, que manipula o usuário para executar comandos maliciosos pensando estar resolvendo erros fictícios do navegador, atualizações de software ou verificações de CAPTCHA.

A cadeia de ataque inicia-se em portais infectados que utilizam scripts para inserir comandos powershell na área de transferência da vítima. Ao induzir o usuário a colar o conteúdo no terminal, a máquina baixa um payload de segundo estágio, identificado como uma variante em Go do Vidar Stealer. Este infostealer é responsável por coletar dados sensíveis e implantar um binário stager, que por sua vez carrega a biblioteca principal telepuz.dll via comando operacional omitido. A infraestrutura de comando e controle (C2) atual é limitada, mas a alta frequência de envios de builds para serviços de análise de vírus indica uma evolução acelerada da ferramenta.

Fluxo técnico

Após a execução inicial via PowerShell, o TELEPUZ demonstra sofisticação na evasão de análise e defesa. O malware realiza verificações de ambiente virtual (anti-VM) analysando recursos de hardware, recusando-se a executar se o sistema possuir menos de dois CPUs, menos de 2GB de memória RAM ou espaço em disco insuficiente. Além disso, ele consulta o identificador de localidade (LCID) do sistema para encerrar a operação caso a máquina esteja localizada em países da Comunidade de Estados Independentes (CIS). Comparações de nomes de usuário e nome do computador contra listas de identificadores comuns de sandboxes também são realizadas para evitar ambientes de pesquisa.

Superadas as barreiras de análise, o malware inicia uma rotina de evasão de defesa robusta. Ele procede com o "unhooking" da NTDLL, desativa a interface de verificação de antimalware (AMSI) e o rastreamento de eventos para Windows (ETW), além de remover callbacks de notificação de DLL de terceiros. Essas ações visam cegar soluções de segurança que dependem desses mecanismos para detecção. Em seguida, o TELEPUZ tenta detectar e travar depuradores ativos. Ele valida o processo pai contra uma lista de "runners" conhecidos, como comando operacional omitido e svchost.exe, antes de gerar um identificador único de vítima baseado no número de série do hardware, nome do computador e data de instalação do sistema operacional.

O estágio final de instalação envolve a elevação de privilégios e persistência. O malware utiliza a técnica de "moniker de elevação COM" para obter direitos administrativos. Dependendo da configuração, ele busca escalar para nível de privilégio SYSTEM roubando o token de processos específicos, como spoolsv.exe, msdtc.exe, WmiPrvSE.exe ou svchost.exe. A persistência é garantida pelo registro do malware como um serviço do Windows, criando chaves de registro necessárias para forçar o carregamento da DLL maliciosa dentro de uma nova instância do svchost.exe.

Superficie afetada

A campanha afeta predominantemente ambientes Windows onde usuários possuem acesso para executar comandos via PowerShell e interagir com a área de transferência. A técnica ClickFix explora a superfície de ataque humana, tornando usuários de navegadores web comuns o ponto de entrada principal. A infraestrutura de C2 identificada inclui sites comprometidos localizados no Brasil e na Índia, protegidos por serviços como Cloudflare para ocultar a localização real de hospedagem.

  • Usuários finais de Windows enganados por falsas mensagens de erro ou CAPTCHA.
  • Ambientes onde o PowerShell não é restrito (Constrained Language Mode).
  • Sistemas com acesso não filtrado a domínios como hurgadatour[.]shop, codebasecode[.]com e recursos de API do Telegram/Steam/Polygon.
  • Processos comando operacional omitido e svchost.exe utilizados como veículos para execução de código não assinado.
Hunting e telemetria

A detecção deve focar na execução não usual de comandos PowerShell que baixam payloads de domínios suspeitos ou recentemente registrados. A análise de comportamento de processos é crucial: deve-se investigar instâncias do comando operacional omitido carregando DLLs de caminhos não padrão ou com assinaturas inexistentes. Tentativas de manipulação da AMSI e ETW por processos filhos são indicadores fortes de comprometimentoem andamento.

As comunicações de rede para os domínios de estágio e C2, bem como consultas DNS TXT para codebasecode[.]com, devem ser correlacionadas com alertas de endpoint. A verificação de criação de novos serviços do System que apontam para binários obscuros ou o uso de técnicas de roubo de token por parte de processos sem privilégios elevados são sinais táticos da atividade do TELEPUZ.

  • Alertas de desvio de segurança ( AMSI/ETW tampering) gerados por EDR ou soluções de antivírus.
  • Criação de chaves de registro de serviço modificadas para carregar DLLs via svchost.exe.
  • Tráfego de rede para o domínio de staging hurgadatour[.]shop e resoluções DNS associadas a codebasecode[.]com.
  • Acesso a perfis do Telegram (t[.]me/chanadarkpart) ou Steam Community contendo URLs criptografadas para C2.
  • Interações com contratos inteligentes na blockchain Polygon para recuperação de endereço de C2.
Mitigação

A resposta imediata envolve o bloqueio de rede dos indicadores de comprometimento (IoCs) identificados, especificamente os domínios de C2 e os métodos de fallback. Restrições rigorosas no uso do PowerShell, como a imposição do modo de linguagem restrita (Constrained Language Mode) e políticas de execução de scripts (Execution Policy), devem ser aplicadas para impedir a fase inicial de infecção via ClickFix. A triagem de arquivos baixados da internet e a assinatura de código também ajudam a barrar o stager e o stealers.

Em nível de endpoint, é essencial garantir que as ferramentas de segurança não tenham seus processos desabilitados. A revisão de permissões de serviços e a monitoração de tentativas de elevação de privilégios anômalas, especialmente aquelas que visam o token de processos críticos do sistema, são recomendadas. A conscientização dos usuários sobre a técnica de.clickFix — instruindo-os a nunca colar comandos desconhecidos em terminais baseados em pop-ups de navegadores — é uma medida defensiva crítica nesta campanha.

  • Bloquear acesso via firewall ou proxy aos domínios hurgadatour[.]shop e codebasecode[.]com.
  • Implementar Application Control (AppLocker/Windows Defender Application Control) para bloquear execução de comando operacional omitido com caminhos de DLL arbitrários.
  • Auditar permissões de usuários para reduzir a superfície de escalonamento de privilégios através do COM e roubo de token.
  • Monitorar e bloquear scripts não assinados ou ofuscados no PowerShell.
  • Treinar usuários finais para识别 verificar a autenticidade de mensagens de erro do navegador e evitar a execução de comandos sugeridos por sites da web.

Postar um comentário

0 Comentários