
Los investigadores de ciberseguridad están llamando la atención sobre un nuevo malware modular llamado TELEPUZ que se ha estado propagando a través de sitios web infectados con señuelos ClickFix desde finales de abril de 2026.
«Este malware tiene todas las funciones, es liviano y modular», dijo en un informe técnico el investigador de Elastic Security Labs, Cyril François. «Aunque la cantidad de dominios C2 (comando y control) es actualmente pequeña, la cantidad de compilaciones diarias y el rápido ritmo de actualizaciones cargadas en VirusTotal indican un desarrollo activo y potencial para un mayor crecimiento».
Esta divulgación lo convierte en el segundo nuevo actor de amenazas que se propaga a través de ClickFix, después de SCMBANKER. ClickFix es un ataque de ingeniería social generalizado que engaña a los usuarios para que ejecuten manualmente comandos maliciosos con el pretexto de una solución benigna para un error falso del navegador, una actualización de software o una validación de CAPTCHA.
Esta técnica se basa en un enfoque conocido como secuestro del portapapeles. Las páginas web que utilizan ClickFix también se conocen como pastejacking porque insertan scripts o comandos maliciosos en el portapapeles de una víctima potencial y brindan instrucciones para pegarlos y ejecutarlos.
La cadena de ataque ClickFix vinculada a TELEPUZ ejecuta PowerShell, que descarga y ejecuta una carga útil de segunda etapa desde una URL remota. Esta carga útil es una variante Go de Vidar Stealer que se sabe que recopila datos confidenciales de hosts infectados e implementa malware secundario. En este caso, es un binario stager que utiliza «rundll32.exe» para iniciar TELEPUZ («telepuz.dll»). Tanto el archivo binario stager como el DLL principal se obtienen del dominio «hurgadatour(.)shop».
Escrito en C, TELEPUZ es liviano y modular, lo que indica que fue desarrollado por un solo desarrollador o un equipo muy pequeño con experiencia en codificación. El número constante de envíos diarios de VirusTotal relacionados con esta amenaza sugiere que esta puede ofrecerse en un modelo de malware como servicio (MaaS).
TELEPUZ también incorpora una serie de técnicas de ofuscación para frustrar los esfuerzos de análisis, incluidas instrucciones basura que no tienen ningún propósito funcional, hash de nombres de importación para resolver importaciones, cifrado de cadenas y llamadas indirectas al sistema.
Luego realiza comprobaciones anti-VM y de geolocalización validando las restricciones de hardware, como si la máquina tiene menos de 2 CPU, menos de 2 GB de memoria o espacio en disco insuficiente, y garantiza que el identificador local del sistema (LCID) no esté en una lista codificada de países de la Comunidad de Estados Independientes (CEI).

Además, el malware compara el nombre de usuario actual y el nombre de la computadora con una lista codificada de identificadores comunes de investigación de malware y entornos aislados. El propósito de estas comprobaciones es finalizar inmediatamente la ejecución si se detecta un entorno virtualizado o de espacio aislado o una ubicación geográfica no autorizada.
Si se pasan todas las comprobaciones, TELEPUZ toma medidas para desactivar el monitoreo de seguridad desenganchando NTDLL, desactivando la interfaz de escaneo antimalware (AMSI) y el seguimiento de eventos para Windows (ETW) y eliminando las devoluciones de llamada de DllNotification de terceros. Esto permite que su aplicación reciba alertas cuando se cargan o descargan archivos DLL.
La rutina de evasión de defensa va seguida de una verificación para detectar la presencia de un depurador y un bloqueo. Luego obtiene el ID del proceso principal y valida el nombre del proceso principal con una lista de ejecutores conocidos, como «rundll32.exe» y «svchost.exe». El último paso es generar una identificación de víctima única concatenando el número de serie del hardware, el nombre de la computadora y la fecha de instalación del sistema operativo.
«Una vez que la sesión se identifica con éxito, el malware genera dos hilos simultáneos: uno dedicado a promocionarse e instalar el malware como un servicio, y el otro para iniciar el ciclo de comunicación C2», dijo Francois. «El hilo de instalación comienza elevándose a sí mismo como administrador utilizando técnicas de apodo de elevación COM».
«Al alcanzar la elevación, dependiendo de su configuración, TELEPUZ intentará obtener privilegios del SISTEMA robando el token del primer proceso que encuentre con el nombre spoolsv.exe, msdtc.exe, WmiPrvSE.exe o svchost.exe. Luego intentará obtener privilegios del SISTEMA robando el token del primer proceso que encuentre con el nombre spoolsv.exe, msdtc.exe, WmiPrvSE.exe o svchost.exe Luego intentará acceder al registro necesario para indicarle a Windows que cargue el malware dentro de la nueva instancia de svchost.exe. Cree una clave y regístrese como servicio.
Paralelamente, el malware intenta establecer conexión con el servidor C2 hasta 10 veces. Si estos intentos fallan, TELEPUZ intenta obtener una dirección C2 alternativa utilizando cuatro métodos diferentes.
Extraiga la URL cifrada de la descripción de un perfil de Telegram (‘t(.)me/chanadarkpart’). Este canal se creó el 28 de abril de 2026 extrayendo URL cifradas de los perfiles de la comunidad Steam. La URL apunta a la misma dirección C2 que se encuentra en el canal de Telegram. La dirección C2 alternativa se extrae y descifra realizando una consulta DNS para el dominio codebasecode(.)com. Extraiga URL cifradas de contratos inteligentes de blockchain de Polygon.
TELEPUZ utiliza el servidor C2 para establecer comunicación mediante WebSockets con TLS opcional y espera instrucciones del operador. Esto le permite realizar una amplia gama de acciones maliciosas, incluida la enumeración de archivos, manipulación de archivos, registro de pulsaciones de teclas, ejecución de comandos, gestión de procesos, captura de pantalla, inyección web y extracción de cookies para navegadores basados en Chromium. También puede descargar y ejecutar archivos ejecutables y módulos DLL.
El componente del inyector web también puede comunicarse directamente con el servidor C2 para recibir y ejecutar comandos para navegadores basados en Chromium y Mozilla Firefox. Este comando aprovecha los protocolos Chrome DevTools Protocol (CDP) y WebDriver BiDi para permitir la extracción de cookies y la ejecución de JavaScript arbitrario en el navegador.
«El número limitado sugiere que lo que consideramos MaaS todavía está en su infancia, a pesar de que se están generando una gran cantidad de compilaciones», dijo Elastic. «Si bien el dominio provisional está protegido por Cloudflare y oculta la ubicación real del alojamiento, los servidores C2 han sido identificados como sitios web comprometidos ubicados en Brasil e India, respectivamente».
Source link
