कैसे एक फेंकी हुई USB ड्राइव एक शांत क्रिप्टोकरेंसी चोर में बदल गई

एक बुटीक फिनटेक फर्म के एक सीनियर डेवलपर ने पिछले मंगलवार को अपने हार्डवेयर वॉलेट लेनदेन में एक विसंगति देखी। उन्होंने 0.5 बिटकॉइन को एक कोल्ड स्टोरेज एड्रेस पर भेजने का प्रयास किया जिसे उन्होंने दर्जनों बार इस्तेमाल किया था। उन्होंने अपने पासवर्ड मैनेजर से एड्रेस कॉपी किया और उसे ट्रांसफर फील्ड में पेस्ट कर दिया। ट्रांजेक्शन पूरा हो गया। हालांकि, फंड कभी भी उनके इच्छित गंतव्य पर नहीं पहुंचा। कुछ ही मिनटों के भीतर, उनके स्रोत वॉलेट का बैलेंस शून्य हो गया। वर्कस्टेशन की फोरेंसिक जांच से पता चला कि पेस्ट किया गया एड्रेस वह नहीं था जिसे उन्होंने कॉपी किया था। यह हमलावर द्वारा नियंत्रित एक लगभग समान दिखने वाली स्ट्रिंग थी। इस उल्लंघन का प्रवेश बिंदु एक प्रमोशनल USB ड्राइव थी जो उन्हें तीन महीने पहले एक कॉन्फ्रेंस स्वैग बैग में मिली थी।

माइक्रोसॉफ्ट के शोधकर्ताओं ने हाल ही में इस विशिष्ट खतरे की पहचान एक नए, स्व-प्रसारित होने वाले वर्म (self-propagating worm) के रूप में की है। वे इसे क्रिप्टो क्लिपर (Crypto Clipper) कहते हैं। यह मैलवेयर उन भारी-भरकम, जटिल रैनसमवेयर पैकेजों से अलग है जो वर्तमान सुर्खियों में छाए रहते हैं। यह एक हल्का स्क्रिप्ट-आधारित बैकडोर है जो गोपनीयता और तत्काल मुद्रीकरण को प्राथमिकता देता है। हमले की श्रृंखला तब शुरू होती है जब कोई उपयोगकर्ता संक्रमित USB ड्राइव को विंडोज मशीन से जोड़ता है। ड्राइव में दुर्भावनापूर्ण .lnk फाइलें होती हैं जो वैध दस्तावेजों या फोल्डरों का स्वांग रचती हैं। जब कोई उपयोगकर्ता इन फाइलों के साथ इंटरैक्ट करता है, तो संक्रमण की प्रक्रिया पारंपरिक इंस्टॉलेशन प्रॉम्प्ट के बिना शुरू हो जाती है।

शांत प्रतिकृति और प्रारंभिक संक्रमण का तंत्र

क्रिप्टो क्लिपर का प्रसार शुरुआती इंटरनेट वर्म्स के युग की याद दिलाता है। यह सिस्टम के बीच हार्डवेयर की भौतिक आवाजाही पर निर्भर करता है। जब मैलवेयर को एक नया होस्ट मिलता है, तो यह किसी भी जुड़े हुए USB स्टोरेज डिवाइस को स्कैन करता है। यह इन ड्राइव पर .lnk फाइलों की एक श्रृंखला बनाता है। ये शॉर्टकट फाइलें निष्पादन योग्य कोड (executable code) संग्रहीत करती हैं जो मैलवेयर पेलोड की ओर इशारा करती हैं। सफल क्लिक की संभावना बढ़ाने के लिए, मैलवेयर उन नामों का उपयोग करता है जो ड्राइव पर मौजूद मौजूदा फाइलों से मेल खाते हैं। यह एक डिजिटल ट्रोजन हॉर्स है जो उपयोगकर्ताओं द्वारा अपने स्वयं के हार्डवेयर पर किए जाने वाले अंतर्निहित विश्वास का फायदा उठाता है।

जोखिम के दृष्टिकोण से, यह वर्म प्रभावी है क्योंकि यह नेटवर्क पेरिमीटर को पूरी तरह से बायपास कर देता है। अधिकांश आधुनिक सुरक्षा स्टैक आने वाले वेब ट्रैफ़िक और ईमेल अटैचमेंट पर ध्यान केंद्रित करते हैं। एक दुर्भावनापूर्ण स्क्रिप्ट जो स्थानीय हार्डवेयर इंटरफ़ेस के माध्यम से आती है, अक्सर निरीक्षण की प्रारंभिक परतों से बच जाती है। एक बार .lnk फ़ाइल चलने के बाद, यह एक PowerShell कमांड निष्पादित करती है। यह कमांड जांचती है कि क्या मशीन पहले से संक्रमित है। यदि सिस्टम साफ है, तो स्क्रिप्ट क्लिपर के मुख्य घटकों को डाउनलोड करने के लिए एक बाहरी सर्वर तक पहुंचती है।

पारंपरिक फ़ायरवॉल टोर-रूटेड ट्रैफ़िक को क्यों नहीं पकड़ पाते

क्रिप्टो क्लिपर की सबसे विशिष्ट विशेषता कमांड और कंट्रोल के लिए टोर (Tor) नेटवर्क का उपयोग है। अधिकांश मैलवेयर परिवार हार्डकोडेड आईपी एड्रेस या डोमेन नामों का उपयोग करते हैं जिन्हें सुरक्षा विश्लेषक आसानी से ब्लॉक कर सकते हैं। यह मैलवेयर अधिक लचीला दृष्टिकोण अपनाता है। यह संक्रमित होस्ट पर एक पोर्टेबल टोर क्लाइंट तैनात करता है। इसके बाद यह सभी आउटबाउंड संचार को एक स्थानीय SOCKS5 प्रॉक्सी के माध्यम से रूट करता है, जो आमतौर पर पोर्ट 9050 पर होता है। यह समझौता किए गए डिवाइस और हमलावर के बीच एक गुमनाम सुरंग बनाता है।

यह सेटअप मानक लॉगिंग प्रथाओं के लिए एक सीधी चुनौती है। एक विशिष्ट कॉर्पोरेट वातावरण में, एक फ़ायरवॉल प्रत्येक आउटबाउंड पैकेट के गंतव्य आईपी को लॉग करता है। जब कोई डिवाइस टोर का उपयोग करता है, तो फ़ायरवॉल केवल एक टोर एंट्री नोड का कनेक्शन देखता है। ये नोड अक्सर वैध सर्वर होते हैं। चोरी किए गए डेटा का वास्तविक गंतव्य एन्क्रिप्शन की कई परतों और निरर्थक नोड्स के पीछे छिपा रहता है। इस संदर्भ में हमले की सतह का आकलन करना मुश्किल है क्योंकि दुर्भावनापूर्ण ट्रैफ़िक सामान्य एन्क्रिप्टेड वेब गतिविधि के साथ मिल जाता है। मैलवेयर डेटा को उसके अंतिम गंतव्य तक भेजने के लिए SOCKS5 प्रोटोकॉल का उपयोग करता है, जिससे यह सुनिश्चित होता है कि हमलावर का सर्वर एड्रेस स्थानीय नेटवर्क लॉग में कभी दिखाई न दे।

क्लिपबोर्ड हाइजैक की शारीरिक रचना

मैलवेयर का प्राथमिक कार्य विंडोज क्लिपबोर्ड की निगरानी करना है। यह उन विशिष्ट पैटर्न की तलाश करता है जो क्रिप्टोकरेंसी वॉलेट एड्रेस से मेल खाते हैं। बिटकॉइन, एथेरियम और अन्य प्रमुख संपत्तियां मानकीकृत अल्फ़ान्यूमेरिक फॉर्मेट का उपयोग करती हैं। क्रिप्टो क्लिपर वास्तविक समय में इन स्ट्रिंग्स की पहचान करने के लिए रेगुलर एक्सप्रेशन का उपयोग करता है। जब कोई उपयोगकर्ता एड्रेस कॉपी करता है, तो मैलवेयर क्लिपबोर्ड सामग्री को इंटरसेप्ट करता है। यह उपयोगकर्ता के एड्रेस को हमलावर के स्वामित्व वाले एड्रेस से बदल देता है।

यह डेटा अखंडता से समझौते का एक सरल लेकिन विनाशकारी रूप है। अधिकांश उपयोगकर्ता पहले और अंतिम चार अक्षरों की जांच करके एड्रेस को सत्यापित करते हैं। इस मैलवेयर के परिष्कृत संस्करण हजारों एड्रेस उत्पन्न करते हैं ताकि एक ऐसा एड्रेस मिल सके जो पीड़ित के इच्छित लक्ष्य से यथासंभव मेल खाता हो। साधारण एड्रेस रिप्लेसमेंट के अलावा, मैलवेयर सीड वाक्यांशों (seed phrases) की भी निगरानी करता है। ये 12- या 24-शब्दों के अनुक्रम हैं जिनका उपयोग क्रिप्टो वॉलेट को रिकवर करने के लिए किया जाता है। यदि मैलवेयर क्लिपबोर्ड पर सीड वाक्यांश का पता लगाता है, तो वह तुरंत टेक्स्ट को बाहर भेज देता है (exfiltrate)। इससे हमलावर को पीड़ित के पूरे डिजिटल एसेट पोर्टफोलियो पर पूर्ण नियंत्रण मिल जाता है।

चोरी-छिपे स्क्रीन कैप्चर के माध्यम से दृश्य पुष्टि

क्रिप्टो क्लिपर केवल टेक्स्ट-आधारित चोरी तक ही सीमित नहीं है। माइक्रोसॉफ्ट ने पाया कि जब भी मैलवेयर क्लिपबोर्ड पर संवेदनशील डेटा का पता लगाता है, तो वह 10 सेकंड की अवधि में पांच स्क्रीनशॉट लेता है। ये चित्र हमलावर को संदर्भ प्रदान करते हैं। एक स्क्रीनशॉट उपयोग में आने वाले विशिष्ट वॉलेट सॉफ़्टवेयर, खाते के बैलेंस या स्क्रीन पर अतिरिक्त सुरक्षा प्रश्नों को प्रकट कर सकता है। मैलवेयर स्क्रीन को कैप्चर करने के लिए नेटिव PowerShell कमांड का उपयोग करता है, जो इसे बुनियादी एंटीवायरस सॉफ़्टवेयर द्वारा पता लगाने से बचने में मदद करता है जो केवल तीसरे पक्ष के कैप्चर टूल की तलाश करते हैं।

स्टीलर से सक्रिय बैकडोर में संक्रमण

जबकि प्राथमिक लक्ष्य वित्तीय चोरी है, माइक्रोसॉफ्ट इस खतरे को एक हल्के बैकडोर के रूप में वर्गीकृत करता है। टोर प्रॉक्सी की उपस्थिति और रिमोट कोड निष्पादित करने की क्षमता का अर्थ है कि हमलावर केवल वॉलेट एड्रेस बदलने से कहीं अधिक कर सकता है। वे किसी भी समय संक्रमित मशीन पर नई स्क्रिप्ट भेज सकते हैं। यह मैलवेयर को उस वातावरण के आधार पर विकसित होने की अनुमति देता है जिसमें वह रहता है। एक कॉर्पोरेट सेटिंग में, एक हमलावर क्रिप्टो चोरी करने से हटकर आंतरिक क्रेडेंशियल इकट्ठा करने या रैनसमवेयर तैनात करने की ओर बढ़ सकता है।

यह रनटाइम टास्किंग क्षमता मैलवेयर को एक निरंतर खतरा बनाती है। भले ही कोई उपयोगकर्ता अपना क्लिपबोर्ड साफ़ कर दे या अपना फंड हटा ले, बैकडोर सक्रिय रहता है। हमलावर अधिक आक्रामक पेलोड तैनात करने से पहले महीनों तक इंतजार कर सकता है। सक्रिय रूप से कहें तो, एक आंतरिक वर्कस्टेशन के लिए निरंतर, गुमनाम कनेक्शन का अस्तित्व किसी भी सुरक्षा टीम के लिए सबसे खराब स्थिति है। यह एक संक्रमित USB ड्राइव को जहाज के हल (hull) में एक स्थायी छेद में बदल देता है।

एक समझौता किए गए सिस्टम के तकनीकी संकेतक

Microsoft Defender for Endpoint के पास इस खतरे के लिए विशिष्ट सिग्नेचर हैं। यह संदिग्ध जावास्क्रिप्ट प्रक्रियाओं और डेटा एक्सफिल्ट्रेशन प्रयासों को फ़्लैग करता है जो Curl उपयोगिता का उपयोग करते हैं। हालांकि, पुराने सिस्टम या उन्नत EDR टूल के बिना सिस्टम के लिए मैन्युअल हंटिंग अक्सर आवश्यक होती है। क्रिप्टो क्लिपर संक्रमण का सबसे मजबूत संकेतक localhost:9050 पर सुनने वाली प्रॉक्सी सेवा की उपस्थिति है। यह टोर SOCKS5 प्रॉक्सी के लिए डिफॉल्ट पोर्ट है।

प्रशासकों को PowerShell या CMD जैसे स्क्रिप्ट दुभाषियों को असामान्य चाइल्ड प्रोसेस शुरू करते हुए भी देखना चाहिए। मैलवेयर अक्सर अपने स्क्रीन कैप्चर और क्लिपबोर्ड मॉनिटरिंग रूटीन को निष्पादित करने के लिए इनका उपयोग करता है। PowerShell हिस्ट्री में स्क्रीन-कैप्चर कमांड का कोई भी सबूत एक रेड फ्लैग होना चाहिए। फोरेंसिक दृष्टिकोण से, USB ड्राइव पर नई .lnk फाइलों का दिखना, जिनके नाम मौजूदा दस्तावेजों की नकल करते हैं, वर्म की उपस्थिति का एक निश्चित संकेत है। Microsoft Defender Antivirus मुख्य पेलोड को Trojan:Win32/CryptoBandits.A के रूप में पहचानता है।

अपने हार्डवेयर इंटरफेस को मजबूत करने के लिए व्यावहारिक कदम

स्व-प्रसारित होने वाले वर्म के खिलाफ नेटवर्क को सुरक्षित करने के लिए तकनीकी नियंत्रण और उपयोगकर्ता शिक्षा के संयोजन की आवश्यकता होती है। पैचिंग के अलावा, सबसे प्रभावी बचाव रिमूवेबल मीडिया के संबंध में एक सख्त नीति है। कई संगठन अब डिफ़ॉल्ट रूप से USB पोर्ट को अक्षम कर देते हैं या विशिष्ट, एन्क्रिप्टेड ड्राइव को व्हाइटलिस्ट करने के लिए सॉफ़्टवेयर का उपयोग करते हैं। यह हर आंतरिक दरवाजे पर एक वीआईपी क्लब बाउंसर के डिजिटल समकक्ष जैसा है। यदि कोई डिवाइस सूची में नहीं है, तो उसे प्रवेश नहीं मिलता है।

उपयोगकर्ताओं को अपने क्लिपबोर्ड के प्रति जीरो-ट्रस्ट दृष्टिकोण भी अपनाना चाहिए। कभी भी यह न मानें कि जो स्ट्रिंग आप पेस्ट कर रहे हैं वह वही स्ट्रिंग है जिसे आपने कॉपी किया था। ट्रांजेक्शन की पुष्टि करने से पहले हमेशा पूरे वॉलेट एड्रेस को सत्यापित करें, न कि केवल पहले कुछ अक्षरों को। उच्च-मूल्य वाले ट्रांसफर के लिए, आउट-ऑफ-बैंड सत्यापन एक आवश्यकता है। इसमें एक अलग डिवाइस पर एड्रेस की जांच करना शामिल है जो उसी नेटवर्क से जुड़ा नहीं है। यह सरल कदम क्लिपर-आधारित चोरी के विशाल बहुमत को रोक सकता है।

अंत में, संगठनों को अनधिकृत प्रॉक्सी टूल की उपस्थिति के लिए अपने सिस्टम का ऑडिट करना चाहिए। टोर के वैध उपयोग हैं, लेकिन एक मानक कार्यालय वर्कस्टेशन पर इसकी उपस्थिति लगभग हमेशा शैडो आईटी या सुरक्षा उल्लंघन का संकेत होती है। ज्ञात टोर एंट्री नोड्स के नेटवर्क ट्रैफ़िक की निगरानी करने से हमलावर द्वारा महत्वपूर्ण मात्रा में डेटा बाहर भेजने से पहले संक्रमित मशीनों की पहचान करने में मदद मिल सकती है। यह सक्रिय निगरानी एक मामूली घटना और डिजिटल संपत्तियों के कुल नुकसान के बीच का अंतर है।

स्रोत

• Microsoft Threat Intelligence Report (June 2026)
• MITRE ATT&CK Framework: T1021.002 (SMB/Windows Admin Shares), T1090.003 (Multi-hop Proxy)
• NIST Special Publication 800-53: Revision 5 (Security and Privacy Controls)
• Microsoft Security Blog: Evolution of Script-Based Stealers

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। यह पेशेवर साइबर सुरक्षा ऑडिट या इंसिडेंट रिस्पांस सेवा का स्थान नहीं लेता है। अपनी एंटरप्राइज सुरक्षा स्थिति में बदलाव करने से पहले हमेशा एक प्रमाणित सुरक्षा पेशेवर से परामर्श लें।