By Milan Sharma 
काठमाडौँ । फेसबुकमा देखिएको एउटा आकर्षक विज्ञापनको पछि लाग्दा राजधानीका २९ वर्षीय शेयर कारोबारी महेन्द्र शर्मा (नाम परिवर्तन) ले एकैछिनमा छ लाख रुपैयाँभन्दा बढी गुमाउन पुगे । शेयर बजारमा नियमित सक्रिय उनलाई ‘एआईको सहायताले नेप्सेको सम्पूर्ण जानकारी लिई स्वचालित रूपमा कारोबार गर्न सकिने’ विज्ञापनले लोभ्यायो ।
“अहिलेको समय एआईको हो, सबै स्वचालित हुन्छ भनेपछि लोभ लाग्यो र बुझ्नका लागि मेसेज गरेँ,” उनी भन्छन् । मेसेज गरे लगत्तै उनलाई पठाइएको लिङ्कबाट एउटा फाइल इन्स्टल गर्न लगाइयो । ‘सबै कारोबार एआईले नै गरिदिन्छ’ भन्ने भ्रममा परेर उत्साहित हुँदै महेन्द्रले ‘.msi’ एक्स्टेन्सन भएको उक्त फाइल आफ्नो कम्प्युटरमा डाउनलोड गरे । इन्स्टल गर्ने क्रममा उनले सामान्य प्रक्रिया ठानेर एपले मागेका सबै अनुमति दिए । तर, त्यही नै उनको गल्ती थियो ।
एप इन्स्टल गरेर खोल्नेबित्तिकै उनको कम्प्युटरमा ‘विन्डोज अपडेट’ हुँदै गरेको सन्देश आयो । “कम्प्युटर बेलाबेला अपडेट भइरहने भएकाले मैले खासै वास्ता गरिनँ,” उनी सुनाउँछन्, “तर अरू बेलाजस्तो पूर्वसूचना बिना नै एक्कासि अपडेटको पेज देखिँदा अचम्म भने लागेको थियो । तैपनि वास्तै गरिनँ ।”
उनी कम्प्युटर अपडेट सकिएर नयाँ एप चलाउने प्रतीक्षामा थिए । तर केही मिनेटभित्रै उनको बैङ्क खाताबाट रकम ट्रान्सफर हुन थालेको मेसेज मोबाइलमा आउन थाल्यो । हेर्दाहेर्दै उनको खातामा रहेको छ लाख रुपैयाँभन्दा बढी रकम गायब भयो । केही समयपछि कम्प्युटर सामान्य अवस्थामा फर्कियो । तर त्यहाँबाट उनले इन्स्टल गरेको ‘नेप्से एआई एप’ गायब भइसकेको थियो । आफू ठगिएको चाल पाएपछि उनी तत्काल प्रहरीको साइबर ब्युरो पुगेर निवेदन दिए ।
यो घटना करिब एक महिना पुरानो भए पनि यो एपको खतरनाक पाटो केही दिन अघि मात्र चर्चामा आयो । त्यसपछि केन्द्रीय अनुसन्धान ब्युरो (सीआईबी) ले पनि मङ्गलबार विज्ञप्ति जारी गर्दै अपरिचित र अनावश्यक एप इन्स्टल नगर्न सर्वसाधारणलाई सचेत गराएको छ । ब्युरोका अनुसार यही प्रकृतिको ठगीमा परेर अर्का एक पीडितले २८ लाख रुपैयाँभन्दा बढी गुमाएको उजुरी पनि परेको छ ।
साइबर ब्युरोका अनुसार यस आर्थिक वर्षमा मात्र यही एपबाट पीडित भएको भन्दै १५ जना पीडितले निवेदन दिएका छन् । त्यस्तै काठमाडौँ उपत्यका अपराध अनुसन्धान कार्यालयमा पनि पीडित पुग्ने क्रम जारी छ ।
के हो ‘नेप्से एआई’ मालवेयर, कसरी चोर्छ रकम ?
यो घटना सतहमा आउनुअघि नै टेकपानाले साइबर सुरक्षा अनुसन्धानकर्तासँग सहकार्य गरेर यस मालवेयरको अनुसन्धान थालेको थियो । त्यही अनुसन्धानका क्रममा के के फेला परे, कसरी यसले एकै पटक लाखौँ रकम लुट्ने गरेको देखियो भन्ने जानकारी यहाँ विस्तृतमा उल्लेख गर्दै छौँ ।
यो अनलाइन रकम चोरीको सुरुवात आकर्षक विज्ञापनबाट हुन्छ । फेसबुक र युट्युब जस्ता सामाजिक सञ्जालमा ‘Nepse Meet AI’ नामक सफ्टवेयरको विज्ञापन ‘बुस्ट’ गरिएको हुन्छ । विज्ञापनमा ‘एआईको सहायताले शेयर किनबेच गर्ने’, ‘सर्ट-टर्म र लङ-टर्म ट्रेडिङलाई अटोमेट गर्ने’ र ‘धेरै अनुसन्धान नगरीकनै नाफा कमाउने’ जस्ता लोभ देखाइन्छ ।
यस्ता विज्ञापनमा लोभिएर धेरै प्रयोगकर्ताले ‘nepsemeetai.com’ नामक वेबसाइटमा पुगेर उक्त सफ्टवेयर डाउनलोड गर्छन् । तर, उनीहरूले डाउनलोड गरेको सफ्टवेयर ‘एआई ट्रेडिङ टुल’ नभई उनीहरूको कम्प्युटरको सम्पूर्ण नियन्त्रण ह्याकरलाई दिने एउटा पासो हो ।
साइबर सुरक्षा अनुसन्धानका क्रममा यो सफ्टवेयरको प्राविधिक पक्ष केलाउँदा डरलाग्दो तथ्य फेला परेको छ । यस विषयको अनुसन्धानका लागि हामीले दुई चरणमा काम गर्यौँ । एउटा प्राविधिक विश्लेषण र अर्को ओपन सोर्स इन्टेलिजेन्स ।
पहिलो चरणः प्राविधिक विश्लेषण
आक्रमणकारीले प्रयोग गरेको ‘nepsemeetai.com’ डोमेन ‘नेमचिप’बाट दर्ता गरिएको छ । किन कि यसमा डोमेन दर्ता गर्ने व्यक्तिको पहिचान लुकाउन सजिलो हुन्छ । यो डोमेन २८ जुन २०२५ अर्थात् झन्डै डेढ महिना अघि मात्र दर्ता गरिएको थियो ।
सो वेबसाइटबाट डाउनलोड हुने ‘nepsemeetai.msi’ नामक फाइलको मेटाडेटा जाँच गर्दा त्यहाँ ‘Nepse Meet AI’ नभएर ‘ScreenConnect Software’ नै अथर भएको पाइयो । स्क्रिन कनेक्ट एउटा चर्चित रिमोट डेस्कटप सफ्टवेयर हो । यो कम्पनी पनि वैध हो । तपाईँले एनी डेस्क, टिम भ्युअर जस्ता रिमोट डेस्कटप एप प्रयोग गर्नु भएकै होला । हो, स्क्रिन कनेक्ट पनि एउटा त्यस्तै सफ्टवेयर हो ।
ठगीका लागि बनाइएको मालवेयर फाइलमा यही कम्पनीको अथर नेम देखेपछि हाम्रो अनुसन्धान टिम चकित पर्यो । यस किसिमका घटनामा प्रायः वैध कम्पनीकै फाइल प्रयोग गर्ने प्रवृत्ति निकै कम देखिन्छ । यस घटनामा त्यही वैध कम्पनीको नाम देखिएपछि यसको जालो खोज्ने प्रक्रिया झनै रोचक बन्यो ।
यसबाट ‘ह्याकरले यही वैध सफ्टवेयरलाई ‘नेप्से मिट एआई’को नाम दिएर वितरण गरिरहेको कुरा थाहा भयो । “यो तरिका एकदमै चलाखीपूर्ण छ । किनभने ‘स्क्रिन कनेक्ट’ एउटा आधिकारिक र डिजिटल रूपमा हस्ताक्षरित सफ्टवेयर हो,” यसमा आबद्ध हाम्रा अनुसन्धानकर्ता भन्छन्, “यस कारण, विन्डोज डिफेन्डर वा अन्य एन्टिभाइरस प्रोग्रामले यसलाई मालवेयर (भाइरस) को रूपमा चिन्दैन र सजिलै इन्स्टल हुन दिन्छ ।”
अनुसन्धानको सबैभन्दा महत्त्वपूर्ण चरणमा उक्त सफ्टवेयर हेर्दा ‘NepseMeetAI.msi’ फाइल ‘nepsemeetai.com’ को ‘विन्डोज इन्स्टलर प्याकेज’ हो भन्ने सूचना देखियो । विन्डोज इन्स्टलर प्याकेज भनेको यस्तो डेटाबेस हो, जसमा सफ्टवेयर इन्स्टल, व्यवस्थापन र अनइन्स्टल गर्ने सबै जानकारी र फाइल समावेश हुन्छन् ।
फाइल इन्स्टल गरिसकेपछि हामीले डोमेन र उक्त डेस्कटप एप्लिकेसन भाइरस टोटल नामक प्लेटफर्ममा अपलोड गरेर हेर्यौँ । कुनै पनि लिङ्क वा फाइलमा मालवेयर तथा भाइरस छ कि छै भन्ने कुरा पहिचान गर्न यो टुलले सघाउँछ । खासगरी प्रयोगकर्ता र एन्टिभाइरस सफ्टवेयर कम्पनीले रिपोर्ट गरेपछि कुनै पनि लिङ्क वा फाइल खतरनाक हो कि होइन भन्ने फ्ल्याग हुन्छ । तर यो एप र वेबसाइट भने त्यस क्रममा पनि सुरक्षित देखियो । “यो नेपालमा मात्रै सञ्चालित थियो । त्यसैमाथि सञ्चालनमा आएको पनि धेरै भएको छैन । हामीले हेर्दा साइट क्लिन अर्थात् सुरक्षित छ भन्ने देखियो,” अनुसन्धान टोली भन्छ ।
तर, एप भने टेन्सेन्ट र जिलियाले खतरनाक छ भनेर फ्लाग गरेका थिए । सामान्यतः राम्रै सफ्टवेयरमा पनि केही प्लेटफर्मले खतरनाक भन्दै फ्याग गर्ने भएकाले यसलाई सामान्य रूपमा लिइयो ।
त्यसपछि अनुसन्धान टिमले सो फाइलको मेटाडेटा जाँच गर्यो । त्यस क्रममा अथर ‘स्क्रिन कनेक्ट सफ्टवेयर देखियो । अर्थात् यसमा विन्डोज इन्स्टलर प्याकेज ‘स्क्रिन कनेक्ट’ कम्पनीकै प्लेटफर्म प्रयोग गरेको पुष्टि भयो । सामान्यतः ह्याकरले यस्तोमा मोडिफाई अथरको रूपमा छद्म नाम राख्छन् ।
यसपछि टिमले ‘nepsemeetai.msi’को ‘md5sum’ ह्याश फाइल आधिकारिक स्क्रिन कनेक्ट क्लाइन्टसँग जाँच गर्यो । ‘md5sum’ यस्तो कमान्ड लाइन हो, जसले कुनै पनि फाइल वा टेक्स्टको एमडी५ ह्याश भ्यालु मापन गर्न र प्रमाणित गर्न सक्छ । त्यस क्रममा ‘nepsemeetai.msi’ को ह्याश फाइल र स्क्रिन कनेक्ट क्लाइन्टको डेस्कटप एमएसआई एपसँग मिल्न पुग्यो ।
‘NepseMeetAI.msi’ को बेसिक स्ट्याटिक एनालिसिस (static analysis) पछि टिम ‘NepseMeetAI.msi को बारेमा थप जान्न चाहन्थ्यो । यो स्यान्डबक्स (sandbox) मा चलाएर र एप्लिकेसनको व्यवहार जाँच गरेर अर्थात् डाइनामिक एनालिसिस (dynamic analysis) बाट मात्र सम्भव हुन्छ । यहाँ हामीले एउटा स्यान्डबक्स वातावरण बनायौँ, जसमा विन्डोज १० अपरेटिङ सिस्टम चलिरहेको थियो । यसमा पनि एपले शङ्कास्पद व्यवहार देखायो ।
यति भएपछि अब यस एपले इन्टरनेटमा कोसँग सम्पर्क गर्छ भनेर निगरानी गरियो । ‘वायरशार्क’ जस्ता नेटवर्क विश्लेषण टुल प्रयोग गर्दा उक्त सफ्टवेयरले ‘admin.nepfinance.space’ नामक डोमेनसँग कम्युनिकेट गरिरहेको पत्ता लाग्यो । यो आक्रमणकारीले बनाएको यस्तो प्लेटफर्म हो, जहाँबाट ‘नेप्से मिट एआई’ सफ्टवेयर इन्स्टल गर्ने प्रयोगकर्ताको सबै एक्सेस पाउन सक्छ । यो साइट आक्रमणकारीले नै आधिकारिक स्क्रिन कनेक्टको सिस्टम कपी गरेर वा स्क्रिन कनेक्टले दिएको सुविधा प्रयोग गरेर बनाएको जस्तो देखिन्छ ।
नेपफाइनान्स नै आक्रमणकारीको ‘कमान्ड एन्ड कन्ट्रोल’ सर्भर हो, जहाँबाट उसले पीडितको कम्प्युटर नियन्त्रण गरिरहेको थियो ।
अहिले ‘nepsemeetai.com’ वेबसाइट बन्द छ । तर, यो कमान्ड सेन्टर भने सक्रिय नै छ । यसबाट के थाहा हुन्छ भने सफ्टवेयर इन्स्टल गरिसकेका प्रयोगकर्ताहरू अझै जोखिममा छन् । “यो मालवेयरको विज्ञापन गर्ने वा डाउलोड गर्ने वेबसाइट मात्र बन्द भएको हो,” अनुसन्धान टिमका सदस्य भन्छन्, “तर, मुख्य रूपमा पीडितको डिभाइसमा एक्सेस पाउने प्लेटफर्म भने सञ्चालनमै छ । यतिसम्म छ कि एक पटक इन्स्टल गर्यो भने अर्को पटक केही गर्नु पर्दैन । कम्प्युटर अफ भए पनि रिबुट भए पनि सबै चलाउन सक्छ ।” यसबाट कम्प्युटर वा फोनमा जे जति जानकारी थिए, सबै आक्रमणकारीको हातमा परिसकेको देखिन्छ । सुरुवाती चरणमा रकम चोरीका घटना सतहमा आएका छन् । तर, यसमा सामाजिक सञ्जालका अकाउन्ट ह्याक हुने जोखिम पनि उत्तिकै छ । ब्राउजरमा सेभ भएका पासवर्डदेखि कम्प्युटर वा फोनमा भएका सबै जानकारी ह्याकरसँग हुने सम्भावना उच्च छ ।
यसअघि माथि तस्विरमा उल्लेख भएका डोमेन पनि एक्टिभ भएको देखिन्छ । हालसम्म तीन ओटा फरक परक डोमेन एक्टिभ भएका छन् । तर, प्रयोगकर्ताले थाहा पाउनासाथ त्यसलाई परिवर्तन गरिएको अवस्था छ ।
अब सफ्टवेयर इन्स्टल भएपछि आक्रमणकारीले पीडितको कम्प्युटरमा ‘फुल एक्सेस’ पाउँछ । त्यसपछि उसले स्क्रिनमा नक्कली ‘Windows Updating’ देखाइदिन्छ । यसले गर्दा प्रयोगकर्तालाई आफ्नो कम्प्युटर अपडेट भइरहेको छ भन्ने भ्रम पर्छ । तर, व्याकग्राउन्डमा के भइरहेको छ, प्रयोगकर्तालाई पत्तै हुन्न ।
यता ह्याकरले ‘adminnepfinance.space’ मा लगइन गरेर पीडितको कम्प्युटरमा सबै एक्सेस पाएको हुन्छ । त्यही बेला स्क्रिनमा बाहिरपट्टि विन्डोज अपडेट भएको स्क्रिन देखाउँछ र, भित्रपट्टि आफ्नो काम थाल्छ ।
यसमा सबैभन्दा ठुलो हतियार ‘कनेक्ट आईपीएस’को एउटा सुविधा बनेको देखिन्छ । कनेक्ट आईपीएसले कारोबार प्रमाणीकरणका लागि चाहिने वन-टाइम पासवर्ड (ओटीपी) मोबाइल नम्बरका साथै ईमेलमा पनि पठाउने विकल्प दिन्छ । आक्रमणकारीले पीडितको कम्प्युटर नियन्त्रणमा लिएर ब्राउजरमा ईमेल खोली सजिलै ओटीपी हेर्छ र पैसा आफ्नो खातामा सार्छ । प्रयोगकर्ताको फोनमा ओटीपी नआउने हुँदा उसलाई आफ्नो खाताबाट पैसा चोरी भइरहेको सुइँकोसम्म मिल्दैन ।
स्क्रिन कनेक्टको यो सुविधा मोबाइलमा पनि प्रयोग हुने भएकाले आक्रमणकारीले पीडितको स्मार्टफोनमा पनि यसैगरी पहुँच पाएको अनुमान गर्न सकिन्छ । अनुसन्धानका क्रममा आक्रमणकारीले केही डिजिटल पदचिन्ह पनि छोडेको पाइयो । युट्युबमा सफ्टवेयर इन्स्टल गर्न सिकाउने एउटा भिडिओ भेटियो । त्यसमा भिडिओ बनाउने व्यक्तिको ब्राउजरमा उसको लोकेसन ‘मुम्बई, भारत’ देखिएको थियो । सोही भिडिओमा एक पीडितले ‘यो सफ्टवेयर इन्स्टल गरेपछि आफ्नो अनुमतिबिना नै माउस चल्ने र कम्प्युटर अटो-रिस्टार्ट हुने’ अनुभव कमेन्ट गरेका थिए ।
“स्क्रिन कनेक्ट भनेको भरपर्दो कम्पनी हो । तर, यसमा भएको फुल एक्सेस पाउने सुविधालाई नै ह्याकरले दुरुपयोग गरेको देखिन्छ,” ती अनुसन्धानकर्ता भन्छन्, “स्क्रिनकनेक्टले विन्डोज प्याकेज इन्स्टलर बनाएर वितरण गर्ने सुविधा दिन्छ । यसरी स्क्रिनकनेक्टकै अथरशिप प्रयोग गरेपछि एन्टी भाइरस पनि झुक्कियो । विन्डोजकै नेटिभ विन्डोज डिफेन्डरले पनि भेउ नपाउने भयो ।”
यसरी कम्प्युटर र फोनमा भएका सुरक्षा प्रणालीलाई नै झुक्याएर आक्रमणकारीले प्रयोगकर्ताको डिभाइस पहुँचमा बनाएर रकम लिएको देखिन्छ ।
ओपन सोर्स इन्टेलिजेन्स विधिबाट गरिएको अनुसन्धानका क्रममा यसमा केही गम्भीर सङ्केत देखिएका छन् । “गुगल र फेसबुकमै यसबारे खोज्यो भने थुप्रै जानकारी भेटिन्छन्,” अनुसन्धानमा खटिएका एक सदस्य भन्छन्, “त्यसैबाट पनि यो कसले बनाएर फैलाएको भन्ने फेला पार्न सकिन्छ । हामीले पनि केही सङ्केत फेला पारेका छौँ ।”
उनीहरूका अनुसार यो मालवेयर बनाएर वितरण गर्ने व्यक्ति (आक्रमणकारी) प्राविधिक रूपमा त्यति परिपक्व मान्छे भने होइन । उसले सामान्य ट्युटोरियल हेरेकै भरमा यस्तो मालवेयर बनाएको हाम्रो अनुसन्धान टोलीको निष्कर्ष छ ।
यदि तपाईँले यो सफ्टवेयर इन्स्टल गरिसक्नु भएको छ भने त्यसलाई हटाउन ‘Geek Uninstaller’ जस्तो अनइन्स्टलर प्रयोग गर्न सक्नुहुन्छ । यस एपको सहायताले विन्डोजको ‘Services’ मा गएर ‘ScreenConnect Client’ सर्भिसलाई बन्द गर्नुपर्ने हुन्छ । यसले लुकेर बसेका फाइललाई पनि फेला पार्न सक्छ । त्यही फाइललाई तपाईँ डिलिट गर्न सक्नुहुन्छ ।
के भन्छ प्रहरी ?
सीआईबीका प्रवक्ता प्रहरी उपरीक्षक युवराज खड्का ठगहरूले आम मानिसको शेयर बजारप्रतिको मनोविज्ञानलाई दुरुपयोग गरेको बताउँछन् । उनी भन्छन्, “अहिले चिया पसलदेखि सार्वजनिक गाडीसम्म जताततै शेयरको चर्चा सुनिन्छ । यही मनोविज्ञानलाई बुझेर ठगहरूले शेयरमा लगानी गर्नेहरूलाई नै निशाना बनाएका छन् । उनीहरूलाई ‘नेप्से एआई’ जस्ता एप्लिकेसनमार्फत शेयर विश्लेषण गरेर तुरुन्तै धनी बन्न सकिन्छ भन्ने भ्रम छरेर ठग्न सकिने देखेर योजना बुनेको देखिन्छ ।”
‘नेप्से एआई’ मार्फत हुने ठगीको तरिका अन्य अनलाइन ठगीभन्दा निकै खतरनाक र योजनाबद्ध रहेको खड्काले उल्लेख गरे । उनले अगाडि भने, “ठगहरूले पठाएको लिङ्क क्लिक गरेपछि मोबाइलमा ‘डाउनलोडिङ’ देखिन्छ र त्यही बीचमा उनीहरूले सबै काम भ्याउँछन् । उनीहरूले पीडितको बैँक खाताबाट पैसा मात्र चोर्दैनन्, मोबाइलमा भएका फोटो, गुगल अकाउन्ट जस्ता महत्त्वपूर्ण विवरण र प्रमाणसमेत नष्ट गरेर मोबाइल नै खाली बनाइदिन्छन् ।”
यस प्रकारको ठगीबाट अर्बौँ रुपैयाँ जोखिममा पर्न सक्ने भन्दै उनले सचेत गराए । “यदि हामी सचेत भएनौँ भने यो प्रकरणमा करोडौँ मात्र होइन, अर्बौँ रुपैयाँ ठगी हुन सक्छ । शेयर बजारमा लगानी गर्ने मानिसहरूसँग तुलनात्मक रूपमा बढी रकम हुन्छ, त्यसैले ठगहरू यही समूहलाई लक्षित गरेर ठुलो रकम हात पार्ने दाउमा छन्,” उनी थप्छन् ।
खड्काले यस्ता ‘डिजिटल एम्बुस’बाट बच्न सर्वसाधारण आफैँ चनाखो हुनुपर्नेमा जोड दिए । “यो एक प्रकारको ‘डिजिटल एम्बुस’ हो, जहाँ तपाईँलाई मन पर्ने विषयकै प्रलोभन देखाएर धरापमा पारिन्छ,” प्रहरी उपरीक्षक खड्का थप्छन्, “अपरिचित व्यक्तिले पठाएको र छिट्टै धनी बनाउने सपना देखाउने कुनै पनि लिङ्क वा एप्लिकेसनमा विश्वास गर्नु हुँदैन । ठगभन्दा हामी एक कदम अगाडि स्मार्ट भयौँ भने यस्ता अपराधबाट सजिलै बच्न सकिन्छ ।”