Cybersecurity-onderzoekers hebben de aandacht gevestigd op een nieuwe modulaire malware genaamd TELEPZ dat zich sinds eind april 2026 verspreidt via websites die zijn geïnfecteerd met ClickFix-aas.
“De malware is volledig uitgerust, lichtgewicht en modulair”, zegt Cyril François, onderzoeker van Elastic Security Labs, in een technisch rapport. “Hoewel het aantal C2-domeinen (command-and-control) momenteel klein is, duiden het dagelijkse volume aan builds dat naar VirusTotal wordt geüpload en het snelle tempo van updates op actieve ontwikkeling en waarschijnlijk verdere groei.”
Door de onthulling is het na SCMBANKER de tweede nieuwe bedreigingsacteur die wordt verspreid via ClickFix, een alomtegenwoordige social engineering-aanval die gebruikers ertoe verleidt handmatig kwaadaardige opdrachten uit te voeren door deze te vermommen als onschuldige oplossingen voor valse browserfouten, software-updates of CAPTCHA-verificaties.
De techniek wordt ondersteund door een aanpak die klembordkaping wordt genoemd. Omdat webpagina’s die ClickFix gebruiken kwaadaardige scripts of commando’s in het klembord van een potentieel slachtoffer injecteren en instructies geven om deze te plakken en uit te voeren, wordt dit ook wel ‘pastejacking’ genoemd.
De ClickFix-aanvalsketen gekoppeld aan TELEPUZ resulteert in de uitvoering van PowerShell, die een tweede fase-payload downloadt van een externe URL en deze uitvoert. De payload is een Go-variant van de Vidar Stealer, waarvan bekend is dat deze gevoelige gegevens van geïnfecteerde hosts verzamelt en secundaire malware inzet, in dit geval een stager-binair bestand dat verantwoordelijk is voor het starten van TELEPUZ (“telepuz.dll”) met behulp van “rundll32.exe.” Zowel het stager- als het hoofd-DLL-binaire bestand worden opgehaald uit het “hurgadatour(.)shop”-domein.
TELEPUZ, geschreven in C, is lichtgewicht en modulair, en vertoont tekenen dat het is ontwikkeld door een solo-ontwikkelaar of een heel klein team met expertise op het gebied van coderen. Een stabiel aantal dagelijkse VirusTotal-inzendingen die verband houden met de dreiging suggereert dat deze waarschijnlijk wordt aangeboden onder een Malware-as-a-Service (MaaS)-model.
TELEPUZ bevat ook een aantal verduisteringstechnieken, zoals rommelinstructies die geen functioneel doel dienen, hashing van importnamen om importen op te lossen, string-encryptie en indirecte systeemaanroepen, om analyse-inspanningen te dwarsbomen.
Vervolgens voert het anti-VM- en geolocatiecontroles uit door hardwarebeperkingen te verifiëren, zoals of de machine minder dan twee CPU’s, minder dan 2 GB geheugen of onvoldoende schijfruimte heeft, en ervoor te zorgen dat de locale identifier (LCID) van het systeem niet op een hardgecodeerde lijst van landen van het Gemenebest van Onafhankelijke Staten (GOS).

Bovendien vergelijkt de malware de huidige gebruikersnaam en computernaam met een hardgecodeerde lijst met veelgebruikte sandbox- en malware-onderzoeksidentificatoren. Het doel van deze controles is om de uitvoering onmiddellijk te beëindigen als een sandbox- of gevirtualiseerde omgeving, of een ongeautoriseerde geografische locatie, wordt gedetecteerd.
Zodra alle controles zijn geslaagd, onderneemt TELEPUZ stappen om de beveiligingsmonitoring uit te schakelen door NTDLL los te koppelen, Antimalware Scan Interface (AMSI) en Event Tracing for Windows (ETW) uit te schakelen en DllNotification-callbacks van derden te verwijderen, waardoor een applicatie waarschuwingen kan ontvangen wanneer een DLL wordt geladen of verwijderd.
De verdedigingsontduikingsroutine wordt gevolgd door controles om de aanwezigheid van debuggers te detecteren en deze te laten crashen. Vervolgens haalt het de ID van het bovenliggende proces op en valideert de naam van het bovenliggende proces aan de hand van een lijst met bekende hardlopers, zoals ‘rundll32.exe’ en ‘svchost.exe’. In de laatste fase genereert het een unieke slachtofferidentificatie die wordt afgeleid door het serienummer van de hardware, de computernaam en de installatiedatum van het besturingssysteem aan elkaar te koppelen.
“Na een succesvolle sessie-identificatie brengt de malware twee gelijktijdige threads voort: de ene is bedoeld om zichzelf naar een hoger niveau te tillen en de malware als een service te installeren, en de andere om de C2-communicatielus te initiëren”, aldus François. “De installatiethread begint door zichzelf op te hogen als beheerder met behulp van de COM-verhogingsnaamtechniek.”
“Na het bereiken van de verhoging en afhankelijk van de configuratie, probeert TELEPUZ vervolgens SYSTEEMrechten te verkrijgen door het token van het eerste gevonden proces te stelen met een van de volgende namen: spoolsv.exe, msdtc.exe, WmiPrvSE.exe, svchost.exe. Vervolgens registreert het zichzelf als een service door de benodigde registersleutels te maken om Windows te instrueren de malware in een nieuw exemplaar van svchost.exe te laden.”
Tegelijkertijd probeert de malware tot tien keer contact te maken met de C2-server. Als deze pogingen mislukken, probeert TELEPUZ het fallback C2-adres op te halen met behulp van vier verschillende methoden:
- Door een gecodeerde URL te extraheren uit de beschrijving van een Telegram-profiel (“t(.)me/chanadarkpart”). Het kanaal is gemaakt op 28 april 2026.
- Door een gecodeerde URL uit een Steam Community-profiel te extraheren. De URL verwijst naar hetzelfde C2-adres als gevonden in het Telegram-kanaal.
- Door een DNS-query uit te voeren voor het domein codebasecode(.)com, wordt het C2-reserveadres geëxtraheerd en gedecodeerd.
- Door een gecodeerde URL te extraheren uit een Polygon blockchain smart contract.
TELEPUZ gebruikt de C2-server om communicatie tot stand te brengen met behulp van WebSockets met optionele TLS, en wacht op instructies van de operator, waardoor deze een breed scala aan kwaadaardige acties kan uitvoeren, waaronder bestandsopsomming, bestandsbewerkingen, loggen van toetsaanslagen, uitvoering van opdrachten, procesbeheer, screenshot-opname, webinjectie en cookie-extractie voor Chromium-gebaseerde browsers. Het kan ook uitvoerbare bestanden en DLL-modules downloaden en uitvoeren.
De webinjectorcomponent kan ook rechtstreeks met de C2-server praten om opdrachten te ontvangen en uit te voeren die gericht zijn op Chromium-gebaseerde browsers en Mozilla Firefox. De opdrachten maken het mogelijk om cookies over te hevelen en willekeurig JavaScript in de browsers uit te voeren door gebruik te maken van het Chrome DevTools Protocol (CDP) en WebDriver BiDi-protocol.
“Hun beperkte aantal suggereert dat wat wij denken dat een MaaS is, zich nog in de beginfase bevindt, ondanks het grote aantal gegenereerde builds”, aldus Elastic. “Hoewel de stagingdomeinen worden beschermd door Cloudflare en hun echte hostinglocaties verbergen, zijn de C2-servers geïdentificeerd als gecompromitteerde websites in respectievelijk Brazilië en India.”