Cảnh báo mã độc TELEPUZ mới: Lợi dụng kỹ thuật ClickFix để đánh cắp dữ liệu
Các nhà nghiên cứu an ninh mạng vừa phát hiện TELEPUZ, một loại malware modular mới đang lây lan thông qua kỹ thuật ClickFix để đánh cắp dữ liệu và thực thi lệnh trái phép trên thiết bị nạn...
Các chuyên gia an ninh mạng tại Elastic Security Labs vừa đưa ra cảnh báo về TELEPUZ, một loại malware modular mới xuất hiện từ cuối tháng 4/2026. Mã độc này đang được phát tán thông qua các trang web bị lây nhiễm bằng kỹ thuật ClickFix.
Table Of Content
Cơ chế tấn công qua ClickFix
ClickFix là một hình thức kỹ thuật xã hội (social engineering) tinh vi, đánh lừa người dùng thực hiện các lệnh độc hại bằng cách giả mạo thông báo lỗi trình duyệt, cập nhật phần mềm hoặc yêu cầu xác thực CAPTCHA. Kỹ thuật này còn được gọi là pastejacking, nơi kẻ tấn công chèn các đoạn mã độc vào clipboard của nạn nhân và hướng dẫn họ dán vào terminal để thực thi.
Chuỗi tấn công của TELEPUZ bắt đầu bằng việc thực thi PowerShell để tải xuống payload giai đoạn hai. Payload này là một biến thể Go của Vidar Stealer, đóng vai trò là stager để khởi chạy tệp tin telepuz.dll thông qua rundll32.exe.
Đặc điểm kỹ thuật của TELEPUZ
Được viết bằng ngôn ngữ C, TELEPUZ có cấu trúc gọn nhẹ và modular. Các nhà nghiên cứu cho rằng đây có thể là sản phẩm của một cá nhân hoặc nhóm nhỏ, và có khả năng đang được vận hành theo mô hình malware-as-a-service (MaaS). Để tránh bị phát hiện, mã độc này áp dụng nhiều kỹ thuật obfuscation như:
- Sử dụng các lệnh rác (garbage instructions) để gây nhiễu.
- Mã hóa chuỗi và sử dụng indirect system calls.
- Kiểm tra môi trường (anti-VM) và vị trí địa lý (geolocation) để tự hủy nếu phát hiện đang chạy trong sandbox hoặc tại các khu vực không mong muốn.
Khả năng vượt qua các lớp bảo mật
Sau khi vượt qua các bước kiểm tra, TELEPUZ tìm cách vô hiệu hóa các công cụ giám sát bằng cách unhooking NTDLL, tắt Antimalware Scan Interface (AMSI) và Event Tracing for Windows (ETW). Malware này cũng có khả năng leo thang đặc quyền lên Admin và cố gắng chiếm quyền SYSTEM bằng cách đánh cắp token của các tiến trình hệ thống như spoolsv.exe hoặc svchost.exe.
Cơ chế C2 linh hoạt
TELEPUZ duy trì kết nối với máy chủ điều khiển (C2) thông qua giao thức WebSockets. Nếu máy chủ chính không khả dụng, nó có thể lấy địa chỉ dự phòng từ nhiều nguồn khác nhau như mô tả trên Telegram, hồ sơ Steam, truy vấn DNS hoặc thậm chí là từ các smart contract trên blockchain Polygon.
Khi đã thiết lập kết nối, kẻ tấn công có thể thực hiện hàng loạt hành vi độc hại như: thu thập tệp tin, ghi lại thao tác bàn phím (keylogging), chụp ảnh màn hình, và đặc biệt là khả năng tiêm mã độc vào trình duyệt (web injection) để đánh cắp cookie và thực thi JavaScript trái phép.
Các chuyên gia khuyến cáo người dùng cần cảnh giác cao độ trước các yêu cầu sao chép và dán lệnh từ các trang web lạ, đồng thời duy trì các giải pháp bảo mật endpoint cập nhật để phát hiện sớm các hành vi bất thường.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.