لفت باحثو الأمن السيبراني الانتباه إلى برنامج ضار نمطي جديد يسمى تليبوز الذي ينتشر عبر مواقع الويب المصابة بإغراءات ClickFix منذ أواخر أبريل 2026.
وقال سيريل فرانسوا، الباحث في شركة Elastic Security Labs، في تقرير فني: “إن البرامج الضارة كاملة المواصفات وخفيفة الوزن وموحدة”. “في حين أن عدد C2 [command-and-control] النطاقات صغيرة حاليًا، ويشير الحجم اليومي للإصدارات التي يتم تحميلها إلى VirusTotal والوتيرة السريعة للتحديثات إلى التطور النشط ومن المحتمل حدوث المزيد من النمو.”
وهذا الكشف يجعله ثاني جهة تهديد جديدة بعد SCMBANKER يتم نشرها عبر ClickFix، وهو هجوم هندسة اجتماعية منتشر يخدع المستخدمين لتشغيل أوامر ضارة يدويًا عن طريق إخفاءها على أنها إصلاحات بريئة لأخطاء المتصفح الزائفة أو تحديثات البرامج أو عمليات التحقق من اختبار CAPTCHA.
يعتمد هذا الأسلوب على أسلوب يسمى اختطاف الحافظة. نظرًا لأن صفحات الويب التي تستخدم ClickFix تقوم بإدخال نصوص برمجية أو أوامر ضارة في حافظة الضحية المحتملة وتوفر تعليمات للصقها وتشغيلها، يُشار إلى ذلك أيضًا باسم لصق اللصق.
تؤدي سلسلة الهجوم ClickFix المرتبطة بـ TELEPUZ إلى تنفيذ PowerShell، الذي يقوم بتنزيل حمولة المرحلة الثانية من عنوان URL بعيد وتنفيذها. الحمولة هي نسخة Go من برنامج Vidar Stealer، المعروف بجمع البيانات الحساسة من المضيفين المصابين ونشر برامج ضارة ثانوية، في هذه الحالة برنامج ثنائي مرحلي مسؤول عن إطلاق TELEPUZ (“telepuz.dll”) باستخدام “rundll32.exe”. يتم استرداد كل من ملف Stager وملف DLL الثنائي الرئيسي من ملف “hurgadatour[.]نطاق “متجر”.
TELEPUZ مكتوب بلغة C، وهو خفيف الوزن ومعياري، ويظهر علامات على أنه تم تطويره بواسطة مطور منفرد أو فريق صغير جدًا يتمتع بخبرة في البرمجة. يشير الحجم الثابت من عمليات إرسال VirusTotal اليومية المرتبطة بالتهديد إلى أنه من المحتمل أن يتم تقديمه ضمن نموذج البرامج الضارة كخدمة (MaaS).
يتضمن TELEPUZ أيضًا عددًا من تقنيات التشويش، مثل تعليمات البيانات المهملة التي لا تخدم أي غرض وظيفي، وتجزئة اسم الاستيراد لحل عمليات الاستيراد، وتشفير السلسلة، واستدعاءات النظام غير المباشرة، لإحباط جهود التحليل.
ثم يشرع بعد ذلك في إجراء فحوصات مكافحة الأجهزة الافتراضية وتحديد الموقع الجغرافي من خلال التحقق من قيود الأجهزة، مثل ما إذا كان الجهاز يحتوي على أقل من وحدتي معالجة مركزية، أو أقل من 2 جيجابايت من الذاكرة، أو مساحة قرص غير كافية، والتأكد من أن المعرف المحلي للنظام (LCID) ليس ضمن قائمة مشفرة بشكل ثابت لدول كومنولث الدول المستقلة (CIS).

علاوة على ذلك، تقوم البرامج الضارة بمقارنة اسم المستخدم الحالي واسم الكمبيوتر بقائمة مشفرة من معرفات أبحاث الحماية الشائعة والبرامج الضارة. الهدف من عمليات التحقق هذه هو إنهاء التنفيذ فورًا في حالة اكتشاف بيئة معزولة أو افتراضية أو موقع جغرافي غير مصرح به.
بمجرد اجتياز جميع عمليات التحقق، يتخذ TELEPUZ خطوات لتعطيل مراقبة الأمان عن طريق إلغاء ربط NTDLL، وإيقاف تشغيل Antimalware Scan Interface (AMSI) وEvent Tracing for Windows (ETW)، وإزالة عمليات رد اتصال DllNotification من جهة خارجية، والتي تسمح للتطبيق بتلقي التنبيهات عند تحميل DLL أو إلغاء تحميله.
يتبع روتين التهرب الدفاعي عمليات فحص للكشف عن وجود مصححات الأخطاء وتعطيلها. ثم يقوم بعد ذلك بجلب معرف العملية الأصلية والتحقق من صحة اسم العملية الأصلية مقابل قائمة من برامج التشغيل المعروفة، مثل “rundll32.exe” و”svchost.exe”. وفي المرحلة النهائية، يقوم بإنشاء معرف فريد للضحية يتم استخلاصه من خلال ربط الرقم التسلسلي للجهاز واسم الكمبيوتر وتاريخ تثبيت نظام التشغيل.
وقال فرانسوا: “بعد تحديد الجلسة بنجاح، تنتج البرامج الضارة خيطين متزامنين: أحدهما مخصص لرفع مستوى نفسه وتثبيت البرنامج الضار كخدمة، والآخر لبدء حلقة اتصال C2”. “يبدأ مؤشر ترابط التثبيت برفع نفسه كمسؤول باستخدام تقنية لقب رفع COM.”
“عند تحقيق الارتفاع واعتمادًا على التكوين، يحاول TELEPUZ بعد ذلك الحصول على امتياز النظام عن طريق سرقة الرمز المميز للعملية التي تم العثور عليها لأول مرة باستخدام أحد الأسماء التالية: spoolsv.exe، msdtc.exe، WmiPrvSE.exe، svchost.exe. بعد ذلك، يسجل نفسه كخدمة عن طريق إنشاء مفاتيح التسجيل الضرورية لتوجيه Windows لتحميل البرامج الضارة داخل مثيل svchost.exe جديد.”
وبالتزامن مع ذلك، تحاول البرمجيات الخبيثة إنشاء اتصال مع خادم C2 الخاص بها لما يصل إلى 10 مرات. إذا انتهت هذه المحاولات بالفشل، يحاول TELEPUZ جلب عنوان C2 الاحتياطي باستخدام أربع طرق مختلفة –
- من خلال استخراج عنوان URL مشفر من ملف تعريف Telegram (“t[.]me/chanadarkpart”) الوصف. تم إنشاء القناة في 28 أبريل 2026.
- عن طريق استخراج عنوان URL مشفر من ملف تعريف مجتمع Steam. يشير عنوان URL إلى نفس عنوان C2 الموجود في قناة Telegram.
- عن طريق تشغيل استعلام DNS لرمز قاعدة بيانات المجال[.]com، فهو يستخرج ويفك تشفير عنوان C2 الاحتياطي.
- من خلال استخراج عنوان URL مشفر من عقد ذكي لـPolygon blockchain.
يستخدم TELEPUZ خادم C2 لإنشاء اتصال باستخدام WebSockets مع TLS اختياري، وينتظر تعليمات من المشغل، مما يسمح له بتنفيذ مجموعة واسعة من الإجراءات الضارة، بما في ذلك تعداد الملفات، وعمليات الملفات، وتسجيل ضغطات المفاتيح، وتنفيذ الأوامر، وإدارة العمليات، والتقاط لقطة الشاشة، وحقن الويب، واستخراج ملفات تعريف الارتباط للمتصفحات المستندة إلى Chromium. يمكنه أيضًا تنزيل وتشغيل الملفات التنفيذية ووحدات DLL.
يمكن لمكون حاقن الويب أيضًا التحدث مباشرة إلى خادم C2 لتلقي وتنفيذ الأوامر التي تستهدف المتصفحات المستندة إلى Chromium وMozilla Firefox. تتيح الأوامر إمكانية سحب ملفات تعريف الارتباط وتشغيل JavaScript عشوائيًا على المتصفحات من خلال الاستفادة من بروتوكول Chrome DevTools (CDP) وبروتوكول WebDriver BiDi.
وقال Elastic: “يشير عددهم المحدود إلى أن ما نعتقد أنه MaaS لا يزال في مراحله المبكرة، على الرغم من الحجم الكبير للبنيات التي تم إنشاؤها”. “في حين أن النطاقات المرحلية محمية بواسطة Cloudflare، لإخفاء مواقع الاستضافة الحقيقية الخاصة بها، فقد تم تحديد خوادم C2 على أنها مواقع ويب مخترقة تقع في البرازيل والهند، على التوالي.”
