2026年4月下旬以降、侵害されたウェブサイトがClickFixの手口を通じて、「TELEPUZ」という奇妙な名前を持つ新種のモジュール型マルウェアを配布しています。Elasticによると、攻撃者はおなじみのエラー修正プロンプトを、ユーザーを騙してクリップボードのコマンドをWindowsのダイアログに貼り付けさせ、手動で実行させる指示に差し替えています。このPowerShellコマンドは中間ファイルをダウンロードした後、Vidarインフォスティーラーの亜種を取得し、最後に正規のシステムユーティリティであるrundll32.exeを通じてTELEPUZを起動します。
実行前の入念な偵察
動作を開始する前に、TELEPUZはコンピューターの特徴、システム言語、ユーザー名、そして仮想環境の兆候の有無を調べます。サンドボックスやデバッガーを検出した場合、このマルウェアはそのまま終了します。チェックを通過すると、TELEPUZはWindowsの防御機構の一部を無効化します。続いて管理者権限とSYSTEM権限の取得を試み、最終的にはsvchost.exeプロセス内にサービスとして居座ります。
目立たぬ場所に隠されたバックアップC2チャネル
コマンド&コントロールサーバーとの通信には、TELEPUZはWebSocketを利用します。さらに必要に応じて、複数のチャネルを同時に使ってフォールバック用アドレスを探し出します。暗号化されたリンクは、TelegramやSteamのプロフィール、ドメインのDNSレコード、さらにはPolygonのスマートコントラクトにまで隠されています。この仕組みにより、主要サーバーがブロックされた後でも、運用者は感染デバイスへの制御を維持できるのです。
諜報活動向けの多機能ツールキット
TELEPUZは、ファイルの閲覧・変更、キーストロークの記録、コマンドの実行、プロセスの管理、スクリーンショットの取得、追加モジュールの読み込みが可能です。さらに、専用のコンポーネントがChromiumベースのブラウザからCookieを窃取します。同じコンポーネントは、ブラウザのリモート制御インターフェースを通じて、ChromiumおよびFirefox上で任意のJavaScriptを実行することもできます。
活発な開発が続く初期段階のMaaSオペレーション
Elasticの研究者たちは、TELEPUZがマルウェア・アズ・ア・サービス(MaaS)モデルで配布されている可能性が高いと見ています。制御用ドメインの数が少ないことは、プロジェクトがまだ初期段階にあることを示しています。しかしながら、毎日のようにビルドが更新され、迅速なアップデートが行われていることは、活発な開発が継続していることを物語っています。これまでに発見された指令サーバーは、ブラジルおよびインドの侵害されたウェブサイト上でホストされていました。
翻訳元: https://meterpreter.org/telepuz-malware/