برمجية TELEPUZ الخبيثة تنتشر عبر صفحات مزيفة تستخدم ClickFix، ما يتيح سرقة البيانات وتشغيل أوامر عن بُعد على أجهزة ويندوز.
ما هي برمجية TELEPUZ ولماذا تثير القلق؟
رصد باحثون في الأمن السيبراني موجة جديدة من الهجمات تعتمد على برمجية TELEPUZ، وهي برمجية خبيثة خفيفة ومقسمة إلى وحدات، ما يمنح المهاجمين مرونة كبيرة في تطويرها وتحديثها بسرعة.
اللافت هنا أن النشاط المرصود بدأ منذ أواخر أبريل 2026، مع مؤشرات على تطوير نشط وعدد متزايد من العينات المتداولة. ووفقاً لما تتابعه تيكبامين، فإن هذا النمط يوحي بأن التهديد قد يتوسع خلال الفترة المقبلة.
كيف تعمل هجمات ClickFix في نشر برمجية TELEPUZ؟
تعتمد هذه الهجمات على أسلوب هندسة اجتماعية يُعرف باسم ClickFix، حيث تعرض الصفحة للمستخدم رسالة خطأ مزيفة أو تحديثاً وهمياً أو اختبار CAPTCHA مضللاً، ثم تطلب منه تنفيذ أوامر يدوياً.
في الخلفية، يتم نسخ أمر ضار إلى الحافظة تلقائياً، وهي تقنية تُعرف أيضاً باسم pastejacking. وبمجرد لصق الأمر وتشغيله، يبدأ PowerShell بتنزيل حمولة خبيثة إضافية من الإنترنت.
سلسلة العدوى باختصار
- موقع مصاب يعرض رسالة إصلاح أو تحقق مزيفة.
- نسخ أمر ضار إلى الحافظة دون انتباه الضحية.
- تشغيل PowerShell لتنزيل المرحلة الثانية.
- تحميل مكونات إضافية ثم تشغيل ملف TELEPUZ عبر rundll32.exe.
ما الذي تسرقه برمجية TELEPUZ من الضحية؟
تشير التفاصيل الفنية إلى أن مرحلة الهجوم الثانية تتضمن نسخة مبنية بلغة Go من Vidar Stealer، وهي معروفة بقدرتها على جمع بيانات حساسة من الأجهزة المصابة قبل إسقاط حمولة أخرى.
وبعد ذلك، يجري تشغيل TELEPUZ نفسها من خلال ملف DLL مخصص، لتتولى تنفيذ الأوامر اللاحقة والتواصل مع البنية الخلفية للمهاجم. هذا يعني أن الخطر لا يقتصر على سرقة كلمات المرور فقط، بل يمتد إلى فتح الباب أمام برمجيات إضافية.
- سرقة بيانات المتصفح والجلسات المحفوظة.
- جمع معلومات النظام والمستخدم.
- تنفيذ أوامر عن بُعد على الجهاز المصاب.
- تهيئة الجهاز لاستقبال برمجيات خبيثة أخرى.
كيف تتخفى TELEPUZ وتتجنب التحليل؟
تستخدم البرمجية عدة أساليب لإرباك الباحثين وأدوات التحليل، منها تعليمات عديمة الفائدة، وتشفير السلاسل النصية، وتمويه أسماء الاستدعاءات البرمجية، إضافة إلى استدعاءات نظام غير مباشرة.
كما أنها تُجري فحوصات ضد البيئات الافتراضية وأجهزة الاختبار، فتتحقق من عدد المعالجات، وسعة الذاكرة، ومساحة التخزين، وحتى إعدادات الموقع الجغرافي للنظام قبل المتابعة.
أبرز مؤشرات التمويه والرصد
- رفض التشغيل على الأجهزة ذات الموارد المحدودة جداً.
- فحص أسماء المستخدمين والأجهزة المرتبطة ببيئات sandbox.
- استبعاد بعض الإعدادات الإقليمية المحددة مسبقاً.
- الاعتماد على بنية معيارية قابلة للتوسعة بسرعة.
كيف تحمي نفسك من برمجية TELEPUZ وهجمات ClickFix؟
أفضل وسيلة للحماية هي عدم تشغيل أي أوامر يتم نسخها من صفحات الويب، حتى لو ظهرت على أنها إصلاح لمشكلة في المتصفح أو خطوة تحقق ضرورية. كما يجب تحديث أدوات الحماية ومنع تشغيل السكربتات غير الموثوقة.
في النهاية، تؤكد برمجية TELEPUZ أن هجمات ClickFix أصبحت أكثر نضجاً وخطورة، لأن نجاحها يعتمد على خداع المستخدم لا على ثغرة تقنية فقط. ولهذا تنصح تيكبامين بالتعامل بحذر مع أي صفحة تطلب لصق أو تنفيذ أوامر يدوية داخل ويندوز.