नई दिल्ली | ब्राउज़र-आधारित साइबर हमले अब एक नए और कहीं अधिक परिष्कृत चरण में प्रवेश कर चुके हैं। जनवरी 2026 में सामने आया एक नया मैलवेयर-एज़-ए-सर्विस टूलकिट, जिसे ‘Stanley’ नाम दिया गया है, साइबर सुरक्षा विशेषज्ञों के लिए गंभीर चिंता का विषय बन गया है। यह टूलकिट उपयोगकर्ताओं को फर्जी वेबसाइट पर ले जाता है, जबकि ब्राउज़र के एड्रेस बार में वैध और असली URL ही दिखाई देता रहता है।
साइबर सुरक्षा शोधकर्ताओं के अनुसार, यह तकनीक इतनी भ्रामक है कि सामान्य उपयोगकर्ता के लिए धोखाधड़ी को पहचानना लगभग असंभव हो जाता है। Stanley का मुख्य लक्ष्य लॉग-इन क्रेडेंशियल्स और संवेदनशील वित्तीय जानकारी चोरी करना है, वह भी बिना किसी स्पष्ट चेतावनी संकेत के।
यह टूलकिट पहली बार 12 जनवरी 2026 को रूसी भाषा के साइबर अपराध फोरम्स पर देखा गया था, जहां इसे “Стэнли” नाम के एक विक्रेता ने पेश किया। रिपोर्टों के मुताबिक, Stanley की कीमत 2,000 से 6,000 डॉलर के बीच तय की गई है। इसके महंगे पैकेज में Google के Chrome Web Store पर एक्सटेंशन के “गारंटीड पब्लिकेशन” तक का दावा किया गया है।
वैध एक्सटेंशन के भेष में हमला
Stanley खुद को एक वैध नोट्स और बुकमार्क ऐप “Notely” के रूप में पेश करता है। यही इसकी सबसे बड़ी ताकत मानी जा रही है। एक बार उपयोगकर्ता इसे सामान्य एक्सटेंशन समझकर इंस्टॉल कर लेता है, तो यह बैकग्राउंड में वेबसाइट स्पूफिंग और डेटा चोरी जैसी गतिविधियां शुरू कर देता है।
साइबर सुरक्षा कंपनी Varonis के शोधकर्ताओं ने Stanley की तकनीकी संरचना और इसके वितरण तंत्र का विश्लेषण किया है। उनके अनुसार, यह टूलकिट एक वेब-आधारित कंट्रोल पैनल के माध्यम से संचालित होता है, जहां हमलावर अलग-अलग पीड़ितों के लिए वेबसाइट हाईजैकिंग के नियम तय कर सकते हैं।
इस प्रक्रिया में हमलावर पहले एक “सोर्स URL” निर्धारित करता है—यानी वह वास्तविक वेबसाइट, जिस पर उपयोगकर्ता जाना चाहता है—और फिर एक “टारगेट URL” सेट करता है, जो फिशिंग या फर्जी साइट होती है। जैसे ही पीड़ित असली वेबसाइट खोलता है, एक्सटेंशन एक फुल-स्क्रीन iframe के जरिए फर्जी वेबसाइट को ओवरले कर देता है, जबकि एड्रेस बार में असली डोमेन ही दिखाई देता रहता है।
Certified Cyber Crime Investigator Course Launched by Centre for Police Technology
तकनीकी रूप से बेहद आक्रामक मैलवेयर
Stanley की संक्रमण प्रक्रिया ब्राउज़र एक्सटेंशन परमिशन पर आधारित है, जो उपयोगकर्ता की ब्राउज़िंग गतिविधियों पर लगभग पूरा नियंत्रण प्रदान करती है। इंस्टॉल होने के बाद इसका कोड पेज लोड होने के सबसे शुरुआती चरण में सक्रिय हो जाता है, इससे पहले कि असली वेबसाइट का कोई कंटेंट दिखाई दे।
यह मैलवेयर पीड़ित के IP एड्रेस को एक यूनिक पहचान के रूप में इस्तेमाल करता है, जिससे हमलावर विशिष्ट व्यक्तियों को टारगेट कर सकते हैं और एक ही यूज़र को अलग-अलग ब्राउज़र या डिवाइस पर ट्रैक कर सकते हैं। हर दस सेकंड में यह एक्सटेंशन अपने कमांड-एंड-कंट्रोल सर्वर से संपर्क कर नए निर्देश प्राप्त करता है।
शोध में यह भी सामने आया है कि Stanley में बैक-अप डोमेन रोटेशन की सुविधा मौजूद है। यदि किसी एक सर्वर को निष्क्रिय कर दिया जाता है, तो यह अपने-आप वैकल्पिक डोमेन से जुड़कर सक्रिय बना रहता है।
हजारों यूज़र पहले ही निशाने पर
Varonis के विश्लेषण के मुताबिक, इस टूलकिट के जरिए पहले ही हजारों उपयोगकर्ताओं को निशाना बनाया जा चुका है। इसके कंट्रोल पैनल में पीड़ितों के IP एड्रेस, ऑनलाइन स्टेटस और हालिया गतिविधियों की जानकारी तक उपलब्ध रहती है।
साइबर विशेषज्ञों का कहना है कि यह मामला ब्राउज़र एक्सटेंशन मार्केटप्लेस की सुरक्षा प्रक्रियाओं पर भी गंभीर सवाल खड़े करता है। एक बार किसी एक्सटेंशन को मंजूरी मिल जाने के बाद उसके अपडेट्स पर सीमित निगरानी रहती है, जिससे बाद में खतरनाक कोड जोड़ा जा सकता है।
एंटरप्राइज संगठनों को सख्त एक्सटेंशन allowlisting नीतियां अपनाने की सलाह दी गई है। वहीं आम उपयोगकर्ताओं को अपने ब्राउज़र में इंस्टॉल एक्सटेंशन की संख्या सीमित रखने और परमिशन रिक्वेस्ट को बेहद सावधानी से जांचने की जरूरत बताई गई है।
विशेषज्ञों का मानना है कि Stanley जैसे टूलकिट यह संकेत देते हैं कि ब्राउज़र अब साइबर अपराध की एक नई और खतरनाक जंग का मैदान बनते जा रहे हैं।
