Telepuz-Malware: Cyberkriminelle verkaufen Angriffswerkzeuge ab 250 Dollar
Veröffentlicht: 16.07.2026 um 07:54 Uhr, Redaktion boerse-global.de
Die Schadsoftware wird im „Malware-as-a-Service“-Modell (MaaS) vertrieben. Elastic Security Labs und ReversingLabs dokumentieren die zunehmende Industrialisierung dieser Angriffsmethoden.
So funktioniert die ClickFix-Infektionskette
Seit April verbreiten Angreifer Telepuz über sogenannte ClickFix-Taktiken. Auf manipulierten Websites wird dem Nutzer ein technisches Problem vorgetäuscht – etwa ein Browserfehler oder ein fehlendes Sicherheitszertifikat. Die Anweisung: Code kopieren und in die PowerShell-Konsole einfügen.
Was dann passiert, ist eine versteckte Download-Kette. Zunächst lädt das System eine Go-basierte Variante des Infostealers Vidar nach. Vidar fungiert als Türöffner und holt im nächsten Schritt den Telepuz-Stager sowie die Hauptkomponente – eine 64-Bit-Windows-DLL – von externen Domains wie hurgadatour[.]shop.
Hochkomplexe Tarnmechanismen
Telepuz ist technisch anspruchsvoll gebaut. Die Malware nutzt RC4-Verschlüsselung für Zeichenfolgen, Import Hashing und indirekte Systemaufrufe (Indirect Syscalls). Zusätzlich erschweren bedeutungslose Code-Anweisungen (Garbage Instructions) die Analyse durch Sicherheitsprogramme.
Angriffe wie Telepuz zeigen, wie professionell Cyberkriminelle heute vorgehen, um Sicherheitslücken in Unternehmen auszunutzen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und neuen IT-Bedrohungen Unternehmer jetzt unbedingt kennen müssen. Neue Cyberrisiken und gesetzliche Anforderungen hier entdecken
Besonders raffiniert: Integrierte Prüfmechanismen erkennen Virtualisierungsumgebungen (Anti-VM). Auch eine Geolocation-Prüfung ist eingebaut – Rechner in CIS-Staaten werden nicht infiziert. Ist Telepuz erst aktiv, etabliert es sich als Windows-Dienst und kommuniziert per WebSockets mit dem Kontrollserver. Zudem patcht die Malware Sicherheitsfunktionen wie AMSI und ETW, um unentdeckt zu bleiben.
Cyberkriminalität als Geschäftsmodell
Die Entdeckung von Telepuz fällt in eine Phase massiver Industrialisierung von Angriffstools. ClickFix-Kits werden auf dem Schwarzmarkt für monatlich rund 250 US-Dollar oder als lebenslange Lizenzen für bis zu 1.800 US-Dollar gehandelt. Über diese Infrastrukturen verbreiten sich auch Lumma Stealer, DarkGate oder AsyncRAT.
Erst Mitte Juli entdeckten Forscher fünf bösartige Versionen des AsyncAPI-npm-Pakets. Sie gelangten über eine kompromittierte CI/CD-Pipeline in Umlauf und enthielten das Malware-Framework Miasma – spezialisiert auf Zugangsdaten und Kryptowährungs-Wallets.
Parallel warnten Sicherheitsunternehmen vor LabubaRAT. Dieses in Rust geschriebene Fernsteuerungstool tarnt sich als offizielle NVIDIA-Anwendung und ermöglicht Fernzugriff auf Shell-Befehle, Screenshots und Dateiübertragungen.
So schützen Sie sich
Da Hacker verstärkt auf psychologische Manipulation und technisches Täuschungsmanöver setzen, ist eine gezielte Prävention für Firmen unerlässlich. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Sie Phishing-Angriffe stoppen, bevor sie entstehen. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern
Die aktuellen Fälle zeigen: Angreifer setzen verstärkt auf menschliche Interaktion. Experten raten dringend davon ab, Skripte oder Befehle aus unbekannten Webquellen in Systemkonsolen einzugeben. Softwareaktualisierungen sollten ausschließlich über die offiziellen Menüs der Browser oder Betriebssysteme erfolgen.
Die Lage wird sich weiter verschärfen: KI-gestützte Betrugsversuche nehmen rasant zu, und QR-Code-Phishing macht bereits einen signifikanten Anteil der weltweiten Phishing-Kommunikation aus.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
