TELEPUZ: Malware modular amenaza a la seguridad de datos
Publicado el
Introducción
Investigadores de ciberseguridad han detectado un nuevo malware denominado TELEPUZ, que se difunde a través de sitios web infectados con ClickFix, una técnica de ingeniería social utilizada desde finales de abril de 2026. Este malware es ligero, modular y está en activo desarrollo, lo que representa un riesgo significativo para la seguridad de los datos.
Propagación a través de ClickFix
ClickFix es un ataque que engaña a los usuarios para que ejecuten comandos maliciosos, disfrazándolos como soluciones inocentes para errores de navegador o actualizaciones de software. El método principal utilizado en este ataque es el clipboard hijacking, que permite inyectar comandos maliciosos en el portapapeles de la víctima, lo que también se conoce como pastejacking. En el caso de TELEPUZ, esta cadena de ataque provoca la ejecución de PowerShell para descargar un segundo payload de una URL remota.
Funcionamiento del Malware
El payload que se descarga es una variante en Go del conocido Vidar Stealer, que se encarga de recopilar datos sensibles de las máquinas infectadas y de desplegar malware adicional. En este caso, se utiliza un archivo binario de stager que lanza TELEPUZ (denominado telepuz.dll) mediante rundll32.exe. Ambos componentes se obtienen del dominio hurgadatour[.]shop.
Desarrollado en C, TELEPUZ muestra evidencias de haber sido creado por un único desarrollador o un pequeño equipo con conocimientos avanzados de programación. La cantidad de envíos diarios a VirusTotal sugiere que podría estar disponible bajo un modelo de malware-as-a-service (MaaS).
Técnicas de Evasión y Comprobaciones
TELEPUZ emplea diversas técnicas de ofuscación, incluyendo instrucciones irrelevantes, hashing de nombres de importación y encriptación de cadenas. Además, realiza comprobaciones para detectar entornos de virtualización y geolocalización, deteniendo su ejecución si se encuentra en un entorno no autorizado o en una ubicación geográfica no deseada.
Una vez superadas estas comprobaciones, el malware trata de deshabilitar la monitorización de seguridad, desconectando componentes como NTDLL y desactivando AMSI y ETW. También busca detectar depuradores y les provoca fallos para evitar análisis.
Elevación de Privilegios y Comunicación con C2
TELEPUZ genera un identificador único para la víctima a partir del número de serie del hardware, el nombre del ordenador y la fecha de instalación del sistema operativo. Tras identificar la sesión, el malware crea dos hilos: uno para elevar sus privilegios e instalarse como servicio, y otro para iniciar la comunicación con el servidor de C2.
La instalación se realiza elevando privilegios mediante la técnica de COM elevation moniker. Luego, intenta obtener privilegios de SYSTEM robando el token de procesos comunes como spoolsv.exe o svchost.exe, y se registra como servicio creando las claves de registro necesarias.
Si la conexión con el servidor de C2 falla, TELEPUZ busca una dirección alternativa utilizando varios métodos, incluyendo la extracción de URLs encriptadas de perfiles de Telegram y Steam, y consultas DNS para dominios específicos.
Conclusión
TELEPUZ se comunica con su servidor de C2 a través de WebSockets con TLS opcional, recibiendo instrucciones del operador y permitiendo una amplia gama de acciones maliciosas, desde enumeración de archivos hasta la gestión de procesos. La detección y mitigación de este malware requieren atención inmediata dado su sofisticado enfoque y la capacidad de evadir medidas de seguridad.