Onderzoekers waarschuwen voor een nieuwe modulaire malware genaamd TELEPUZ, die sinds eind april 2026 wordt verspreid via websites die besmet zijn met ClickFix-lures. Volgens een technisch rapport van Elastic Security Labs-onderzoeker Cyril François is de malware lichtgewicht, volledig uitgerust en modulair van opzet. Hoewel het aantal command-and-control (C2) domeinen beperkt is, wijzen het dagelijkse aantal builds dat op VirusTotal wordt geüpload en de snelle updates op actieve ontwikkeling en waarschijnlijk verdere groei.

TELEPUZ is de tweede nieuwe dreiging die via ClickFix wordt verspreid, een veelvoorkomende social engineering-aanval waarbij gebruikers worden misleid om kwaadaardige commando’s handmatig uit te voeren. Deze commando’s worden gepresenteerd als onschuldige oplossingen voor nep-browserfouten, software-updates of CAPTCHA-verificaties. De techniek maakt gebruik van clipboard hijacking, waarbij kwaadaardige scripts in het klembord van het slachtoffer worden geplaatst en instructies worden gegeven om deze te plakken en uit te voeren, ook wel pastejacking genoemd.

De ClickFix-aanvalsketen die met TELEPUZ wordt geassocieerd, voert PowerShell uit om een tweede payload te downloaden en te starten. Deze payload is een Go-versie van de Vidar Stealer, bekend om het verzamelen van gevoelige gegevens en het installeren van secundaire malware. In dit geval betreft het een stager-binary die verantwoordelijk is voor het starten van TELEPUZ ("telepuz.dll") via "rundll32.exe". Zowel de stager als de hoofd-DLL worden opgehaald van het domein "hurgadatour[.]shop".

TELEPUZ is geschreven in C, lichtgewicht en modulair, en vertoont kenmerken van ontwikkeling door een enkele programmeur of een klein team met geavanceerde programmeerkennis. Het constante aantal dagelijkse VirusTotal-submissies wijst erop dat de malware waarschijnlijk wordt aangeboden als malware-as-a-service (MaaS). Om analyse te bemoeilijken, gebruikt TELEPUZ diverse obfuscatie-technieken zoals het invoegen van nutteloze instructies, import name hashing, string-encryptie en indirecte systeemaanroepen.

De malware voert anti-VM- en geolocatiecontroles uit door hardware-eigenschappen te controleren, zoals het aantal CPU’s, beschikbare geheugen- en schijfruimte, en sluit systemen uit die zich in bepaalde landen van de Gemenebest van Onafhankelijke Staten bevinden. Daarnaast vergelijkt TELEPUZ gebruikers- en computernamen met een lijst van bekende sandbox- en malware-onderzoekersidentificaties om detectie te voorkomen. Bij detectie van een sandbox, virtuele omgeving of ongeautoriseerde locatie stopt de malware direct met uitvoeren.

Na het passeren van deze controles schakelt TELEPUZ beveiligingsmonitoring uit door het unhooken van NTDLL, het uitschakelen van de Antimalware Scan Interface (AMSI) en Event Tracing for Windows (ETW), en het verwijderen van derdepartij DllNotification callbacks. Vervolgens detecteert de malware debuggers en probeert deze te beëindigen. Ook valideert het de naam van het ouderproces tegen bekende uitvoerders zoals "rundll32.exe" en "svchost.exe".

In de laatste fase genereert TELEPUZ een unieke slachtofferidentificatie op basis van het hardware-serienummer, de computernaam en de installatie datum van het besturingssysteem. Daarna start de malware twee gelijktijdige processen: één die zichzelf verhoogt tot administrator en de malware als service installeert, en een andere die de communicatie met de C2-server initieert. De verhoging van rechten gebeurt via de COM elevation moniker-techniek.