New TELEPUZ Malware Spreads via ClickFix to Steal Data and Run Commands

2 minute de lecture

Mis à jour :

Propagation et Analyse du Malware Modulaire TELEPUZ

TELEPUZ est un malware modulaire émergent, distribué via la technique d’ingénierie sociale “ClickFix” (ou pastejacking). Cette méthode manipule les utilisateurs pour qu’ils copient et exécutent manuellement des commandes malveillantes dans leur terminal, sous couvert de corriger des erreurs système ou de vérifier des CAPTCHA.

Points clés :

  • Modèle économique : Probablement proposé sous forme de Malware-as-a-Service (MaaS).
  • Chaîne d’infection : L’attaque télécharge une variante Go de Vidar Stealer, qui déploie ensuite la bibliothèque malveillante telepuz.dll.
  • Résilience C2 : En cas d’échec de communication, le malware utilise des méthodes sophistiquées pour récupérer une adresse de repli, notamment via Telegram, un profil Steam, des requêtes DNS spécifiques ou des contrats intelligents sur la blockchain Polygon.
  • Capacités : Vol de données (cookies, identifiants), capture d’écran, enregistrement de frappes clavier (keylogging), exécution de commandes arbitraires et injection web via les protocoles CDP et WebDriver BiDi.

Techniques d’évasion et de persistance :

  • Anti-analyse : Utilisation de chiffres de contrôle pour détecter les environnements sandbox/virtuels et les localisations géographiques (exclut les pays de la CEI).
  • Neutralisation des défenses : Désactivation de l’AMSI, de l’ETW et contournement des protections NTDLL par démaillage (unhooking).
  • Privilèges : Élévation automatique en tant qu’administrateur via COM, puis obtention des privilèges SYSTEM par vol de jeton de processus.
  • Persistance : Installation en tant que service Windows sous une instance de svchost.exe.

Vulnérabilités : L’article ne mentionne pas de CVE spécifique, car il s’agit d’une attaque basée sur la manipulation humaine (ingénierie sociale) et l’abus de fonctionnalités système légitimes plutôt que sur l’exploitation d’une faille logicielle.

Recommandations :

  • Sensibilisation : Informer les utilisateurs sur le danger de copier-coller des commandes inconnues dans le terminal, même si cela est présenté comme une procédure de “réparation” sur un site web.
  • Protection des endpoints : Maintenir les solutions EDR/XDR à jour pour détecter les comportements suspects (ex: processus svchost.exe lancés de manière anormale, appels aux API de sécurité comme AMSI/ETW).
  • Gestion des accès : Restreindre les privilèges d’exécution des utilisateurs afin de limiter la capacité du malware à s’élever en privilèges SYSTEM.
  • Filtrage réseau : Surveiller les connexions sortantes suspectes, en particulier vers des domaines ou services tiers inhabituels (Telegram, profils Steam, nœuds blockchain) utilisés pour la récupération de commandes de contrôle.

Source