Новости Детская передача свернула не туда. Вирус «ТЕЛЕПУЗ» проникает в Windows, когда пользователь пытается «починить браузер»

NewsMaker

I'm just a script
Премиум
28,401
46
8 Ноя 2022
Розовая сумочка Тинки-Винки доверху набита украденными ключами доступа.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
sja8jcglwasuf0xiegq2ueyllt1zv2lp.jpg

<div itemprop="articleBody">С конца апреля 2026 года взломанные сайты распространяют через схему ClickFix новый модульный вредонос с необычным названием «TELEPUZ». По данным Elastic, злоумышленники подменяют привычное исправление ошибки инструкцией, которая заставляет пользователя вставить в окно Windows команду из буфера обмена и запустить её вручную. Команда PowerShell загружает промежуточный файл, затем вариант инфостилера Vidar, а после него запускает TELEPUZ через системную утилиту rundll32.exe.

Перед началом работы TELEPUZ проверяет характеристики компьютера, язык системы, имя пользователя и признаки виртуальной среды. При обнаружении песочницы или отладчика вредонос завершает свою работу. После проверки TELEPUZ отключает часть защитных механизмов Windows, пытается получить права администратора и SYSTEM, а затем закрепляется как служба внутри процесса svchost.exe.

Для связи с управляющим сервером TELEPUZ использует WebSocket и при необходимости ищет резервный адрес сразу несколькими способами. Зашифрованные ссылки спрятаны в профилях Telegram и Steam, DNS-записи домена и смарт-контракте Polygon. Такая схема помогает сохранить управление заражёнными устройствами при блокировке основного сервера.

TELEPUZ умеет просматривать и изменять файлы, записывать нажатия клавиш, выполнять команды, управлять процессами, делать снимки экрана и загружать дополнительные модули. Отдельный компонент крадёт cookies из Chromium -браузеров и может запускать произвольный JavaScript в Chromium и Firefox через интерфейсы удалённого управления браузером.

Специалисты Elastic считают, что TELEPUZ, вероятно, распространяют по модели «вредонос как услуга». На раннюю стадию проекта указывает небольшое число управляющих доменов, однако ежедневные сборки и быстрые обновления говорят об активной разработке. Обнаруженные управляющие серверы размещались на взломанных сайтах в Бразилии и Индии.
 
Источник новости
www.securitylab.ru

Похожие темы