AI News CryptoTRADE THE NEWS
A USB drive plugged into a laptop with cables
क्रिप्टो
Trading

Microsoft ने USB से फैलने वाले CryptoBandits मैलवेयर की…

विंडोज़ वर्म दुर्भावनापूर्ण .lnk शॉर्टकट का उपयोग करता है, लगभग हर 500 मिलीसेकंड में क्लिपबोर्ड को पोल करता है, और टॉर के माध्यम से डेटा निकालता है।

AI News Crypto Editorial Team द्वारा5 मिनट का पठन

माइक्रोसॉफ्ट ने एक USB-प्रसारित विंडोज़ वर्म का खुलासा किया है जिसे Trojan:Win32/CryptoBandits के रूप में पहचाना गया है, जिसने फरवरी 2026 से क्रिप्टो वॉलेट गतिविधियों को लक्षित किया है। यह मैलवेयर क्लिपबोर्ड को बीज वाक्यांशों, निजी कुंजियों और प्राप्तकर्ता पते के लिए देखता है, और चुपचाप कॉपी किए गए गंतव्य पते को बदल सकता है ताकि ट्रांसफर को पुनर्निर्देशित किया जा सके।

मुख्य निष्कर्ष

  • एक USB-जनित विंडोज़ वर्म जिसे Trojan:Win32/CryptoBandits के रूप में ट्रैक किया गया है, ने फरवरी 2026 से क्रिप्टो वॉलेट गतिविधियों को लक्षित किया है।
  • प्रारंभिक संक्रमण एक संक्रमित USB ड्राइव पर रखे गए एक दुर्भावनापूर्ण विंडोज़ शॉर्टकट (.lnk) पर एकल क्लिक के साथ शुरू हो सकता है।
  • पेलोड लगभग हर 500 मिलीसेकंड में विंडोज़ क्लिपबोर्ड को पोल करता है और उपयोगकर्ता द्वारा ट्रांसफर फ्लो में चिपकाए जाने से पहले कॉपी किए गए प्राप्तकर्ता पते को स्वैप कर सकता है।
  • चोरी किया गया डेटा टोर के माध्यम से भेजा जाता है, और मैलवेयर भी 10 सेकंड के अंतराल पर पांच स्क्रीनशॉट कैप्चर करता है।

माइक्रोसॉफ्ट ने Trojan:Win32/CryptoBandits को एक USB-जनित “क्रिप्टो क्लिपर” के रूप में नामित किया है।

माइक्रोसॉफ्ट ने एक विंडोज़ “क्रिप्टो क्लिपर” अभियान का खुलासा किया है जो संक्रमित USB ड्राइव के माध्यम से फैलता है और क्रिप्टो वॉलेट संचालन को लक्षित करता है। माइक्रोसॉफ्ट डिफेंडर इस खतरे का पता Trojan:Win32/CryptoBandits के रूप में लगाता है, और माइक्रोसॉफ्ट ने कहा कि यह वर्म फरवरी 2026 से सक्रिय है।

लेबल उस कार्यप्रवाह की तुलना में कम महत्वपूर्ण है जिसे यह लक्षित करता है। यह एक निच ब्राउज़र-इंजेक्शन ट्रिक नहीं है। इसे एक विंडोज़ मशीन पर बैठने और ठीक उसी क्षण में हस्तक्षेप करने के लिए डिज़ाइन किया गया है जब फंड चलते हैं, जहां व्यापारी और पावर उपयोगकर्ता नियमित रूप से टाइपिंग गलतियों से बचने के लिए कॉपी और पेस्ट पर निर्भर करते हैं।

.lnk क्लिक से एक हाईजैक किए गए ट्रांसफर तक: क्लिपबोर्ड स्वैपिंग कैसे काम करता है

संक्रमण श्रृंखला हटाने योग्य मीडिया पर शुरू होती है। एक संक्रमित USB ड्राइव में एक दुर्भावनापूर्ण Windows शॉर्टकट फ़ाइल होती है जो “.lnk” पर समाप्त होती है। जब उपयोगकर्ता इसे क्लिक करता है, तो शॉर्टकट हमलावर द्वारा नियंत्रित आदेशों को निष्पादित करता है जो पीसी पर कीड़ा स्थापित करते हैं।

एक बार निवास करने के बाद, वॉलेट-चोरी करने वाला घटक लगभग हर 500 मिलीसेकंड में विंडोज क्लिपबोर्ड की निगरानी करता है। माइक्रोसॉफ्ट ने कहा कि यह खोजता हैबीज वाक्यांशनिजी कुंजी, और प्राप्तकर्ता पते। अधिकांश वॉलेट चोरी का सबसे कठिन हिस्सा उपयोगकर्ता को रहस्य सौंपने के लिए मनाना होता है। यह अभियान उस निर्भरता को कम करता है और इसके बजाय ट्रांसफर निष्पादन को लक्षित करता है।

महत्वपूर्ण व्यवहार हैपताबदलाव। जब एक उपयोगकर्ता फंड भेजने के लिए एक प्राप्तकर्ता पते को कॉपी करता है, तो मैलवेयर इसे चुपचाप एक हमलावर-नियंत्रित पते से बदल सकता है, बिना किसी दृश्य संकेत के। इसका मतलब है कि एक उपयोगकर्ता कभी भी टाइप न करके सब कुछ "सही" कर सकता है।बीज वाक्यांशएक फ़िशिंग साइट में और फिर भी निकासी या ऑन-चेन भेजने के बिंदु पर क्लिप किया जा सकता है।

कैप्चर की गई क्लिपबोर्ड डेटा टोर नेटवर्क के माध्यम से एक्सफिल्ट्रेट की जाती है। माइक्रोसॉफ्ट ने यह भी कहा कि मैलवेयर पांच स्क्रीनशॉट लेता है, दस सेकंड के अंतराल पर, और उन्हें हमलावर को भेजता है, यह सेटअप, लॉगिन, या ट्रांसफर पुष्टि के दौरान स्क्रीन पर क्या था, इसे कैप्चर करने का एक सरल तरीका है।

यूएसबी प्रसार वॉलेट संचालन के लिए खतरे के मॉडल को क्यों बदलता है

यूएसबी प्रसार इसे एक एकल-एंडपॉइंट समस्या से एक परिचालन समस्या में बदल देता है। कीड़ा अतिरिक्त हटाने योग्य मीडिया की प्रतीक्षा करता है, फिर संक्रमित मशीन में एक साफ यूएसबी ड्राइव डाले जाने पर फैलता है।

माइक्रोसॉफ्ट का विवरण स्पष्ट है: मैलवेयर साफ ड्राइव को वर्ड दस्तावेज़, एक्सेल शीट, और पीडीएफ जैसे सामान्य फ़ाइलों के लिए स्कैन करता है, फिर उन्हें संक्रमित ड्राइव को संक्रमित करने के लिए समान नाम वाले शॉर्टकट फ़ाइलों के साथ बदल देता है। यह डेस्क कार्यप्रवाहों के लिए एक व्यावहारिक जाल है जो मशीनों के बीच फ़ाइलों को शटल करता है, जिसमें अर्ध-एयर-गैप्ड आदतें शामिल हैं जहां उपयोगकर्ता मानते हैं कि "ऑफ़लाइन" सुरक्षित है।

व्यापारियों के लिए, दूसरे क्रम का जोखिम उस मशीन में पार्श्व गति है जो वास्तव में हस्ताक्षर करता है या ट्रांसफर को स्टेज करता है। "सिर्फ एक फ़ाइल स्थानांतरित करने" के लिए उपयोग किया जाने वाला एकल संदूषित यूएसबी पुल बन सकता है।

डिफेंडर प्लेबुक: ऑटो रन, .lnk ब्लॉकिंग, स्क्रिप्ट होस्ट, और टोर पोर्ट 9050 शिकार

माइक्रोसॉफ्ट ने हटाने योग्य मीडिया के लिए ऑटो रन को अक्षम करने और समूह नीति के माध्यम से यूएसबी ड्राइव पर .lnk निष्पादन को ब्लॉक करने की सिफारिश की। इसने wscript.exe और cscript.exe जैसे विंडोज स्क्रिप्ट होस्ट को प्रतिबंधित करने की भी सलाह दी, जो शॉर्टकट-चालित और स्क्रिप्ट-आधारित मैलवेयर श्रृंखलाओं के लिए सामान्य निष्पादन पथ हैं।

पता लगाने के पक्ष पर, माइक्रोसॉफ्ट ने कहा कि डिफेंडर ग्राहक संबंधित गतिविधियों के लिए शिकार प्रश्न चला सकते हैं, जिसमें पोर्ट 9050 पर स्थानीय टोर प्रॉक्सी के साथ संगत कनेक्शन शामिल हैं। माइक्रोसॉफ्ट ने डिफेंडरों के लिए समझौते के संकेत भी प्रकाशित किए, जिसमें फ़ाइल हैश और .onion कमांड-और-नियंत्रण डोमेन शामिल हैं।

जो स्पष्ट नहीं है वह दायरा है। प्रदान की गई जानकारी में पीड़ितों की संख्या, क्षेत्र, विशिष्ट वॉलेट ऐप, या चुराए गए फंडों की मात्रा का माप नहीं है। अगला ठोस संकेत यह होगा कि क्या माइक्रोसॉफ्ट उन विवरणों का विस्तार करता है, और क्या नए पता लगाना क्रिप्टोबैंडिट्स को विशेष वॉलेट सॉफ़्टवेयर या एक्सचेंज निकासी कार्यप्रवाह से जोड़ता है। उद्यमों और व्यापार टीमों के लिए, तत्काल टेलीमेट्री जो देखनी है वह हटाने योग्य मीडिया से .lnk निष्पादन और पोर्ट 9050 पर किसी भी टोर-प्रॉक्सी जैसी गतिविधि है, फिर माइक्रोसॉफ्ट के अपडेट किए गए हैश और .onion अवसंरचना को एंडपॉइंट और नेटवर्क लॉग के खिलाफ मिलाना है।

मार्कस हेल का विचार: चुप्पी से विफलता का तरीका पता प्रतिस्थापन है, कुंजी चोरी नहीं

मैं इसे एक बाजार-संरचना समस्या के रूप में मानता हूँस्वयं-निगरानीऑप्स, न कि 'नए मैलवेयर' के बारे में एक शीर्षक। डिज़ाइन सबसे कम-घर्षण चोरी के मार्ग के लिए अनुकूलित है: ट्रांसफर के क्षण में गंतव्य पते को क्लिप करें, और उपयोगकर्ता बाकी काम करता है। जो सीमा महत्वपूर्ण है वह यह है कि क्या रक्षक विश्वसनीय रूप से हटाने योग्य-मीडिया .lnk निष्पादन और टोर प्रॉक्सी कलाकृतियों को पहले बुरे भेजने से पहले सतह पर ला सकते हैं।

यूएसबी प्रसार गुणक है। यदि वह कूद पैटर्न वास्तविक डेस्क कार्यप्रवाहों में बना रहता है, तो सेटअप संरचनात्मक दिखने लगता है न कि कथा-प्रेरित, क्योंकि यह फ़ाइल-स्थानांतरण व्यवहार को लक्षित करता है जिस पर कई टीमें अभी भी निर्भर हैं। यह विकास व्यावहारिक रूप से महत्वपूर्ण है यदि CryptoBandits दोहराए जाने योग्य .lnk-from-USB प्लस Tor-9050 टेलीमेट्री के रूप में प्रकट होता है जो उन वातावरणों के भीतर नियमित रूप से निकासी को स्टेज और निष्पादित करता है।

स्रोत