Šta se desilo?

Istraživači bezbednosti su identificirali novi maliciozni softver nazvan TELEPUZ koji se od kraja aprila 2026. godine širi preko kompromitovanih veb-stranica koristeći ClickFix prevare. Reč je o modularnoj, lako održivoj pretnji koja se karakteriše bogatom funkcionalnošću i aktivnim razvojem - eksperti smatraju da se verovatno distribuira kao Malware-as-a-Service (MaaS) usluga.

Kako funkcionira napad?

Napad počinje kada veb-stranica automatski umetne malicioznu PowerShell komandu u clipboard (tablu sa isečcima) žrtve, a zatim je navede da je prosledi (paste) i izvrši. Ova tehnika se naziva pastejacking ili clipboard hijacking. Nakon izvršenja te komande, preuzima se druga faza napada - varijanta Vidar Stealer-a napisana na Go jeziku, koja krade osetljive podatke i instalira dodatni maliciozni softver. Zatim se preuzima TELEPUZ (telepuz.dll) koji se pokreće preko legitimitne Windows alatke rundll32.exe.

Koga pogađa?

Pretnja može zahvatiti sve korisnike koji posetite kompromitovane veb-stranice i padnu na ClickFix prevare. Maliciozni kod posebno ciljaja Windows sisteme i teži da izbegne sandbox okoline, virtuelne mašine i sisteme u određenim geografskim regijama. Potencijalno su ugroženi korisnici u različitim sektorima jer maliciozni kod može biti konfigurisan na razne načine.

Kako se zaštititi?

  • Pazite na upozorenja koja se pojavljuju tokom browsovanja - legitimne greške i ažuriranja nikad ne trebaju da vas ohrabre da pogledaš između i lepite komande u PowerShell ili command prompt
  • Nikada ne kopirajte i ne izvršavajte komande sa nepoznatih ili sumnjivh sajtova, čak i ako izgledaju kao legitimne poente za ažuriranje
  • Održavajte Windows i sve instalovane programe ažurnim sa najnovijim sigurnosnim ispravkama
  • Koristite pouzdani antimalver i omogućite real-time zaštitu
  • Razmislite o korišćenju EDR (Endpoint Detection and Response) rešenja za bolje praćenje sumnjive aktivnosti
  • Edukujte se i svoje kolege o socijalnom inženjeringu i ClickFix prevarama

Tehnički detalji

TELEPUZ je napisan na C jeziku sa malim veličinama i modularnom arhitekturom. Koristi brojne tehnike obfuskacije uključujući ubacivanje beskorisnih instrukcija, heširanja imena importovanih funkcija, šifrovanje stringova i indirektne sistemske pozive. Maliciozni kod sprovodi anti-VM provere proveravajući broj CPU jezgara, RAM memoriju i disk prostor. Takođe proverava Locale Identifier (LCID) i prekida izvršavanje ako je sistem konfigurisano za CIS zemlje. Pre nego što nastavi sa napadom, TELEPUZ uklanja NTDLL hook-ove, isključuje AMSI, Event Tracing for Windows (ETW) i DllNotification callback-ove. Nakon uspešne identifikacije sesije, maliciozni kod kreira jedinstveni identifikator žrtve kombinovanjem serijskog broja hardvera, imena računara i datuma instalacije operativnog sistema. Preuzimanje datoteka se dešava sa domena hurgadatour[.]shop.

Zašto je važno za region?

ClickFix prevare su szeroko rasprostranjene tehnike socijalnog inženjeringa koje se koriste u napadima na korisnike širom sveta, uključujući Zapadni Balkan. Pošto TELEPUZ koristi otvorene vektore napada preko veb-pregledača, svi korisnici u regiji koji pristupe kompromitovanim sajtovima su potencijalno ugroženi. Identifikacija ovog novog malicioznog softvera kao MaaS usluge ukazuje da će se verovatno koristiti u različitim ciljanim kampanjama protiv korporacija, institucija i privatnih korisnika u narednom periodu.

Preporuka Sajber Radara

Preporučujemo svim korisnicima da budu izuzetno oprezni kada naiđu na upozorenja o ažuriranjima ili greškama tokom pretraživanja. Nikada ne prosledi komande koje vam nudite nepoznate sajtove bez prethodne provere legitimnosti. Organizacije trebaju da jače edukuju svoje zaposlene o ovoj vrsti prevare i pojačaju monitoring za anomalne PowerShell aktivnosti na njihovim Windows sistemima.