Un programa infantil dio un giro inesperado: el virus "TELEPUZ" infecta Windows cuando el usuario intenta "arreglar el navegador"

Un programa infantil dio un giro inesperado: el virus "TELEPUZ" infecta Windows cuando el usuario intenta "arreglar el navegador"

El bolso rosa de Tinky Winky rebosa de credenciales robadas.

image

Desde finales de abril de 2026, sitios comprometidos están distribuyendo, mediante el esquema ClickFix, un nuevo módulo malicioso modular con el inusual nombre «TELEPUZ». Según Elastic, los atacantes sustituyen la corrección habitual de un error por una instrucción que obliga al usuario a pegar en la ventana de Windows un comando desde el portapapeles y ejecutarlo manualmente. El comando de PowerShell descarga un archivo intermedio, luego una variante del infostealer Vidar, y después ejecuta TELEPUZ mediante la utilidad del sistema rundll32.exe.

Antes de empezar a operar, TELEPUZ comprueba las características del equipo, el idioma del sistema, el nombre de usuario y señales de un entorno virtual. Si detecta una sandbox o un depurador, el malware termina su ejecución. Tras esas comprobaciones, TELEPUZ desactiva parte de los mecanismos de protección de Windows, intenta obtener privilegios de administrador y SYSTEM, y luego se instala como servicio dentro del proceso svchost.exe.

Para comunicarse con el servidor de mando, TELEPUZ usa WebSocket y, si es necesario, busca una dirección de reserva por varios métodos a la vez. Los enlaces cifrados están ocultos en perfiles de Telegram y Steam, en los registros DNS del dominio y en un contrato inteligente en Polygon. Este esquema ayuda a mantener el control de los dispositivos infectados si se bloquea el servidor principal.

TELEPUZ puede examinar y modificar archivos, registrar pulsaciones de teclas, ejecutar comandos, controlar procesos, tomar capturas de pantalla y descargar módulos adicionales. Un componente separado roba cookies de navegadores Chromium y puede ejecutar JavaScript arbitrario en Chromium y Firefox a través de las interfaces de control remoto del navegador.

Los especialistas de Elastic consideran que TELEPUZ probablemente se distribuye bajo el modelo de «malware como servicio». El número reducido de dominios de mando indica una etapa temprana del proyecto; sin embargo, las compilaciones diarias y las actualizaciones rápidas señalan un desarrollo activo. Los servidores de mando descubiertos estaban alojados en sitios comprometidos en Brasil e India.