Исследователи Elastic Security Labs обнаружили вредоносную программу, которая с конца апреля 2026 года распространяется через зараженные сайты с использованием техники ClickFix. Малварь получила название TELEPUZ, а нашел и описал ее аналитик Cyril François. По его словам, это «полнофункциональный, легковесный и модульный» инструмент, написанный на C — язык не самый популярный для современных стилеров, но выбор явно осознанный: код получается компактным и быстрым.
Судя по стилю программирования и качеству реализации, за TELEPUZ стоит либо один разработчик, либо очень небольшая команда с серьезным опытом. François отмечает стабильный ежедневный поток сэмплов на VirusTotal — это косвенно указывает на модель Malware-as-a-Service, то есть вредонос сдается в аренду другим киберпреступникам. При этом количество известных C2-доменов пока невелико. Как пишет исследователь, «то, что мы считаем MaaS-платформой, всё еще находится на ранней стадии, несмотря на большой объем генерируемых билдов».
TELEPUZ стал вторым за последнее время новым вредоносом (после SCMBANKER), который начал распространяться через ClickFix. Суть техники проста и от этого особенно эффективна: пользователю показывают фальшивое сообщение — якобы ошибку браузера, требование обновить программу или пройти проверку CAPTCHA. На деле жертву заставляют вручную скопировать и вставить команду в терминал или окно «Выполнить». Это вариант clipboard hijacking, или pastejacking — вредоносный код подсовывается в буфер обмена, а человек сам, своими руками, запускает заражение.
Цепочка атаки выстроена в несколько этапов. Приманка ClickFix запускает PowerShell, который скачивает с удаленного URL второй компонент — Go-версию известного стилера Vidar. Она собирает данные с зараженного компьютера и одновременно разворачивает вспомогательный загрузчик (stager). Этот загрузчик через rundll32.exe запускает основной модуль — библиотеку telepuz.dll. Оба файла, и stager, и основная DLL, скачиваются с одного домена — hurgadatour[.]shop.
Внутри TELEPUZ спрятан целый набор приемов обфускации: мусорные инструкции без функциональной нагрузки, хэширование имен импортируемых функций, шифрование строк и косвенные системные вызовы вместо прямых. Все это усложняет статический анализ и работу антивирусных движков.
Перед тем как развернуться полноценно, вредонос проводит серию проверок окружения. Если на машине меньше двух процессорных ядер, меньше 2 ГБ оперативной памяти или недостаточно места на диске — программа считает, что находится в виртуальной среде, и прекращает работу. Отдельно проверяется идентификатор локали (LCID): если он совпадает с одной из стран СНГ из зашитого в код списка, запуск также прерывается — классический признак того, что авторы малвари ориентированы на русскоязычный регион и стараются не бить по «своим». Дополнительно программа сверяет имя пользователя и имя компьютера со списком известных идентификаторов песочниц и исследовательских стендов.
После успешного прохождения всех проверок TELEPUZ переходит к нейтрализации средств мониторинга: снимает хуки с NTDLL, отключает AMSI и ETW, а также удаляет сторонние DllNotification-коллбэки, которые обычно используются защитным ПО для отслеживания загрузки библиотек. Параллельно проверяется PID родительского процесса — он должен соответствовать одному из «легитимных» запускающих процессов вроде rundll32.exe или svchost.exe.
Для идентификации жертвы вредонос формирует уникальный ID, склеивая серийный номер оборудования, имя компьютера и дату установки операционной системы. Затем поток установки повышает привилегии до администратора через технику COM elevation moniker, задействуя процессы msdtc.exe, WmiPrvSE.exe и svchost.exe. TELEPUZ регистрируется как служба, создает нужные ключи реестра и заставляет систему подгружать себя внутри нового экземпляра svchost.exe — классическая маскировка под системный процесс.
Отдельного внимания заслуживает механизм связи с командным сервером. Основной сервер малварь пытается опросить до десяти раз. Если попытки проваливаются, в дело вступают запасные каналы — и вот тут авторы TELEPUZ проявили изобретательность. Первый вариант — Telegram-канал t[.]me/chanadarkpart, созданный 28 апреля 2026 года: зашифрованный адрес C2 прячется прямо в описании канала. Второй — профиль в Steam Community, где точно так же зашифрован адрес, причем он указывает на тот же сервер, что и Telegram. Третий способ — DNS-запрос к домену codebasecode[.]com, из ответа на который извлекается и расшифровывается резервный адрес. И наконец, четвертый вариант — смарт-контракт в блокчейне Polygon, где также хранится зашифрованная ссылка на управляющий сервер. Связь с C2 идет через WebSocket, опционально с TLS-шифрованием.
Получив доступ к серверу, оператор может отдавать TELEPUZ команды на перечисление файлов и работу с ними, логирование нажатий клавиш, выполнение произвольных команд, управление процессами, создание скриншотов, веб-инъекции, извлечение куки из браузеров на Chromium, а также загрузку и запуск дополнительных исполняемых файлов и DLL-модулей. Отдельный веб-инжектор напрямую взаимодействует с C2 и атакует браузеры на движке Chromium, а также Mozilla Firefox — ворует куки и выполняет произвольный JavaScript, используя Chrome DevTools Protocol и протокол WebDriver BiDi.
Инфраструктура прикрыта Cloudflare, что маскирует реальное расположение серверов. При этом сами командные серверы, судя по анализу Elastic, размещены на скомпрометированных сайтах в Бразилии и Индии — типичная тактика для сокрытия следов и удешевления инфраструктуры атаки.
Судя по стилю программирования и качеству реализации, за TELEPUZ стоит либо один разработчик, либо очень небольшая команда с серьезным опытом. François отмечает стабильный ежедневный поток сэмплов на VirusTotal — это косвенно указывает на модель Malware-as-a-Service, то есть вредонос сдается в аренду другим киберпреступникам. При этом количество известных C2-доменов пока невелико. Как пишет исследователь, «то, что мы считаем MaaS-платформой, всё еще находится на ранней стадии, несмотря на большой объем генерируемых билдов».
TELEPUZ стал вторым за последнее время новым вредоносом (после SCMBANKER), который начал распространяться через ClickFix. Суть техники проста и от этого особенно эффективна: пользователю показывают фальшивое сообщение — якобы ошибку браузера, требование обновить программу или пройти проверку CAPTCHA. На деле жертву заставляют вручную скопировать и вставить команду в терминал или окно «Выполнить». Это вариант clipboard hijacking, или pastejacking — вредоносный код подсовывается в буфер обмена, а человек сам, своими руками, запускает заражение.
Цепочка атаки выстроена в несколько этапов. Приманка ClickFix запускает PowerShell, который скачивает с удаленного URL второй компонент — Go-версию известного стилера Vidar. Она собирает данные с зараженного компьютера и одновременно разворачивает вспомогательный загрузчик (stager). Этот загрузчик через rundll32.exe запускает основной модуль — библиотеку telepuz.dll. Оба файла, и stager, и основная DLL, скачиваются с одного домена — hurgadatour[.]shop.
Внутри TELEPUZ спрятан целый набор приемов обфускации: мусорные инструкции без функциональной нагрузки, хэширование имен импортируемых функций, шифрование строк и косвенные системные вызовы вместо прямых. Все это усложняет статический анализ и работу антивирусных движков.
Перед тем как развернуться полноценно, вредонос проводит серию проверок окружения. Если на машине меньше двух процессорных ядер, меньше 2 ГБ оперативной памяти или недостаточно места на диске — программа считает, что находится в виртуальной среде, и прекращает работу. Отдельно проверяется идентификатор локали (LCID): если он совпадает с одной из стран СНГ из зашитого в код списка, запуск также прерывается — классический признак того, что авторы малвари ориентированы на русскоязычный регион и стараются не бить по «своим». Дополнительно программа сверяет имя пользователя и имя компьютера со списком известных идентификаторов песочниц и исследовательских стендов.
После успешного прохождения всех проверок TELEPUZ переходит к нейтрализации средств мониторинга: снимает хуки с NTDLL, отключает AMSI и ETW, а также удаляет сторонние DllNotification-коллбэки, которые обычно используются защитным ПО для отслеживания загрузки библиотек. Параллельно проверяется PID родительского процесса — он должен соответствовать одному из «легитимных» запускающих процессов вроде rundll32.exe или svchost.exe.
Для идентификации жертвы вредонос формирует уникальный ID, склеивая серийный номер оборудования, имя компьютера и дату установки операционной системы. Затем поток установки повышает привилегии до администратора через технику COM elevation moniker, задействуя процессы msdtc.exe, WmiPrvSE.exe и svchost.exe. TELEPUZ регистрируется как служба, создает нужные ключи реестра и заставляет систему подгружать себя внутри нового экземпляра svchost.exe — классическая маскировка под системный процесс.
Отдельного внимания заслуживает механизм связи с командным сервером. Основной сервер малварь пытается опросить до десяти раз. Если попытки проваливаются, в дело вступают запасные каналы — и вот тут авторы TELEPUZ проявили изобретательность. Первый вариант — Telegram-канал t[.]me/chanadarkpart, созданный 28 апреля 2026 года: зашифрованный адрес C2 прячется прямо в описании канала. Второй — профиль в Steam Community, где точно так же зашифрован адрес, причем он указывает на тот же сервер, что и Telegram. Третий способ — DNS-запрос к домену codebasecode[.]com, из ответа на который извлекается и расшифровывается резервный адрес. И наконец, четвертый вариант — смарт-контракт в блокчейне Polygon, где также хранится зашифрованная ссылка на управляющий сервер. Связь с C2 идет через WebSocket, опционально с TLS-шифрованием.
Получив доступ к серверу, оператор может отдавать TELEPUZ команды на перечисление файлов и работу с ними, логирование нажатий клавиш, выполнение произвольных команд, управление процессами, создание скриншотов, веб-инъекции, извлечение куки из браузеров на Chromium, а также загрузку и запуск дополнительных исполняемых файлов и DLL-модулей. Отдельный веб-инжектор напрямую взаимодействует с C2 и атакует браузеры на движке Chromium, а также Mozilla Firefox — ворует куки и выполняет произвольный JavaScript, используя Chrome DevTools Protocol и протокол WebDriver BiDi.
Инфраструктура прикрыта Cloudflare, что маскирует реальное расположение серверов. При этом сами командные серверы, судя по анализу Elastic, размещены на скомпрометированных сайтах в Бразилии и Индии — типичная тактика для сокрытия следов и удешевления инфраструктуры атаки.