क्रिप्टो क्लिपर विंडोज अटैक कैंपेन

सुरक्षा शोधकर्ताओं ने एक परिष्कृत विंडोज-आधारित क्रिप्टोकरेंसी क्लिपर ऑपरेशन के विवरण का खुलासा किया है जो फरवरी 2026 से सक्रिय है। यह अभियान क्लिपबोर्ड-मॉनिटरिंग मैलवेयर का उपयोग करता है जो स्व-प्रसार करने में सक्षम है और अपने संचार बुनियादी ढांचे को छिपाने के लिए टोर गुमनामी नेटवर्क का लाभ उठाता है।

मानक इंस्टॉलर या सार्वजनिक रूप से उपलब्ध कमांड-एंड-कंट्रोल (C2) सर्वरों पर निर्भर रहने वाले पारंपरिक मैलवेयर ऑपरेशनों के विपरीत, यह मैलवेयर एक पोर्टेबल टोर क्लाइंट का उपयोग करता है और सभी ट्रैफ़िक को एक स्थानीय SOCKS5 प्रॉक्सी के माध्यम से रूट करता है। क्रिप्टोकरेंसी की चोरी, डेटा की चोरी और रिमोट कोड निष्पादन क्षमताओं को मिलाकर, यह मैलवेयर न केवल एक क्लिपर के रूप में, बल्कि एक हल्के बैकडोर के रूप में भी कार्य करता है।

क्लिपर मैलवेयर कैसे काम करता है

क्लिपर मैलवेयर पीड़ित के क्लिपबोर्ड गतिविधि पर चुपचाप नज़र रखने और मेमोरी में कॉपी की गई संवेदनशील जानकारी को इंटरसेप्ट करने के लिए डिज़ाइन किया गया है। इसका मुख्य उद्देश्य ज्ञात ब्लॉकचेन प्रारूपों से जुड़े वॉलेट पतों की पहचान करके और उन्हें हमलावर द्वारा नियंत्रित विकल्पों से बदलकर क्रिप्टोकरेंसी लेनदेन में हेरफेर करना है। परिणामस्वरूप, वैध प्राप्तकर्ताओं के लिए निर्धारित धनराशि को पीड़ित की जानकारी के बिना पुनर्निर्देशित किया जा सकता है।

यह अभियान विंडोज स्क्रिप्ट होस्ट और एक्टिवएक्स-आधारित कार्यक्षमता का उपयोग करके एक एम्बेडेड टोर प्रॉक्सी लॉन्च करता है और एक छिपे हुए C2 सर्वर से संचार करता है। मैलवेयर लगातार क्लिपबोर्ड की निगरानी करता है, स्क्रीनशॉट कैप्चर करता है, क्रिप्टोकरेंसी से संबंधित जानकारी चुराता है और वास्तविक समय में वॉलेट पते बदलता रहता है।

यूएसबी-आधारित संक्रमण श्रृंखला और कृमि कार्यक्षमता

यह हमला रिमूवेबल यूएसबी स्टोरेज डिवाइस के ज़रिए दुर्भावनापूर्ण विंडोज शॉर्टकट (LNK) फ़ाइलों के वितरण से शुरू होता है। जब कोई पीड़ित इन शॉर्टकट में से किसी एक को खोलता है, तो एक वर्म कंपोनेंट सक्रिय हो जाता है। मैलवेयर पहले यह पता लगाता है कि सिस्टम पहले से संक्रमित है या नहीं और यदि कोई पूर्व संक्रमण नहीं पाया जाता है, तभी शेष पेलोड डाउनलोड करता है।

LNK पेलोड कनेक्टेड USB डिवाइसों में DOC, XLSX और PDF जैसी आमतौर पर इस्तेमाल होने वाली डॉक्यूमेंट फ़ाइलों की खोज करता है। एक बार मिल जाने पर, इन फ़ाइलों को छिपा दिया जाता है और उनकी जगह समान नामों वाली दुर्भावनापूर्ण शॉर्टकट फ़ाइलें रख दी जाती हैं। यह धोखे वाली तकनीक इस संभावना को बढ़ाती है कि उपयोगकर्ता किसी वैध दिखने वाले दस्तावेज़ को खोलने की कोशिश करते समय अनजाने में मैलवेयर को चला देंगे।

शुरुआती संक्रमण के बाद, यह वर्म अन्य असंक्रमित यूएसबी उपकरणों में भी संक्रमण फैलाने के लिए जिम्मेदार है। यह वर्म और स्टीलर घटकों दोनों के लिए निर्धारित कार्य बनाकर अपनी निरंतरता भी स्थापित करता है।

उन्नत बचाव और निरंतर कमांड निष्पादन

क्लिपर कंपोनेंट ऑपरेटिंग सिस्टम के साथ सीधे इंटरैक्ट करने के लिए WScript और ActiveXObject का उपयोग करता है। पता लगने की संभावना को कम करने के लिए, मैलवेयर सक्रिय प्रक्रियाओं की जाँच करता है और यदि टास्क मैनेजर चल रहा हो तो स्वयं को समाप्त कर देता है।

निष्पादन के अंतिम चरण के दौरान, एक नाम बदला हुआ टोर बाइनरी एक छिपी हुई विंडो में लॉन्च किया जाता है। मैलवेयर फिर एक अद्वितीय पीड़ित पहचानकर्ता उत्पन्न करता है और इसे अपने रिमोट इंफ्रास्ट्रक्चर के साथ पंजीकृत करता है। पंजीकरण के बाद, यह एक निरंतर परिचालन लूप में प्रवेश करता है, लगभग हर 500 मिलीसेकंड में क्लिपबोर्ड सामग्री की निगरानी करते हुए कमांड के लिए C2 सर्वर को पोल करता है।

क्रिप्टोकरेंसी वॉलेट डेटा, सीड फ्रेज़ और प्राइवेट कीज़ को इकट्ठा करने के अलावा, यह मैलवेयर स्क्रीनशॉट भी कैप्चर करता है और उन्हें टोर नेटवर्क के ज़रिए ट्रांसफर करता है। अगर C2 सर्वर EVAL कमांड के साथ जवाब देता है, तो हमलावर द्वारा दिया गया कोड प्रभावित सिस्टम पर तेज़ी से एग्जीक्यूट होता है, जिससे खतरे की क्षमता काफी बढ़ जाती है।

प्रमुख संकेतक और रक्षात्मक सिफारिशें

सुरक्षा टीमों को सलाह दी जाती है कि वे केवल स्थिर मैलवेयर सिग्नेचर पर निर्भर रहने के बजाय व्यवहार-आधारित पहचान तकनीकों पर ध्यान केंद्रित करें। संदिग्ध पॉवरशेल-आधारित स्क्रीन-कैप्चर गतिविधि और कर्ल, cmd.exe, पॉवरशेल या अन्य अप्रत्याशित निष्पादन योग्य फ़ाइलों को लॉन्च करने के लिए WScript या CScript जैसे विंडोज स्क्रिप्टिंग इंजनों के असामान्य उपयोग पर विशेष ध्यान दिया जाना चाहिए।

अनुशंसित रक्षात्मक उपायों में निम्नलिखित शामिल हैं:

• सभी रिमूवेबल मीडिया के लिए ऑटोरन और ऑटोप्ले कार्यक्षमता को अक्षम करना, ग्रुप पॉलिसी ऑब्जेक्ट्स (जीपीओ) के माध्यम से यूएसबी उपकरणों से एलएनके फ़ाइल निष्पादन को अवरुद्ध करना, और wscript.exe और cscript.exe के अनावश्यक उपयोग को सीमित करना।
• वित्तीय या क्रिप्टोकरेंसी से संबंधित कार्यों को संभालने वाले मॉनिटरिंग सिस्टम में असामान्य क्लिपबोर्ड गतिविधि, अनधिकृत स्क्रीन-कैप्चर व्यवहार और संदिग्ध टोर-संबंधित नेटवर्क संचार की निगरानी करना।

यह खतरा क्यों अलग दिखता है?

यह अभियान वित्तीय उद्देश्यों से प्रेरित मैलवेयर की बढ़ती जटिलता को दर्शाता है। यूएसबी-आधारित वर्म प्रसार, क्लिपबोर्ड हाइजैकिंग, टोर-ऑबफस्केटेड संचार, स्क्रीनशॉट चोरी और रिमोट कोड निष्पादन को एक ही टूलकिट में मिलाकर, ऑपरेटरों ने एक बहुमुखी खतरा पैदा कर दिया है जो क्रिप्टोकरेंसी संपत्तियों को चुराने और संक्रमित सिस्टम तक दीर्घकालिक पहुंच बनाए रखने में सक्षम है। छिपी हुई सेवा अवसंरचना का उपयोग पता लगाने और उसे नष्ट करने के प्रयासों को और भी जटिल बना देता है, जिससे सक्रिय व्यवहार निगरानी एक महत्वपूर्ण रक्षा रणनीति बन जाती है।