برامج مقرصنة
ماذا تفعل عندما تحتاج إلى برنامج، لكن لا يمكنك شراء ترخيص رسمي؟ الإجابة الصحيحة: “استخدام النسخة التجريبية” أو “البحث عن بديل مجاني”. الإجابة غير الصحيحة: “البحث عبر الإنترنت عن نسخة مقرصنة.”
من المعروف أن المصادر البديلة المشبوهة تقدم إصدارات مقرصنة من البرامج، بالإضافة إلى ميزات أخرى. وبعد الخوض في مواقع مليئة بالإعلانات، قد تحصل على البرنامج الذي تريده (عادةً بدون التحديثات المستقبلية ووظائف الشبكة)، لكن مع برنامج تعدين للعملات المشفرة، أو برنامج لسرقة البيانات، أو أي شيء آخر يُضاف في صورة “مكافأة”.
واستنادًا إلى أمثلة واقعية، نشرح لماذا يتعين عليك تجنب المواقع التي تقدم تنزيلات فورية لبرامج مطلوبة بشدة.
برنامج تعدين وبرنامج سرقة بيانات على SourceForge
كان موقع SourceForge ذات يوم أكبر لكل ما يتعلق بالمصادر المفتوحة، وبمعنى ما، كان الرائد الذي سبق موقع GitHub. لكن لا تظن أن SourceForge قد مات – فهو اليوم يقدم خدمات استضافة وتوزيع البرامج. ويوجد على بوابة البرامج الخاصة به العديد من المشاريع التي يمكن لأي شخص تحميلها إذا كان يرغب في ذلك.
وكما هو الحال مع GitHub، فإن هذه العالمية هي التي تشكل عائقًا أمام تحقيق مستوى عالٍ من الأمان. دعونا نتناول مثالًا واحدًا فقط: وجد خبراؤنا على SourceForge مشروعًا يسمى officepackage. ومن الوهلة الأولى، يبدو الأمر غير ضار: وصف واضح واسم مباشر وحتى تقييم إيجابي واحد.
صفحة “Officepackage” على SourceForge
لكن ماذا لو أخبرناك أن الوصف والملفات تم نسخها حرفيًا من مشروع آخر لا صلة له على GitHub؟ بدأت أجراس الإنذار تدق بالفعل. مع ذلك، لا يتم تنزيل أي برامج ضارة على جهاز الكمبيوتر الخاص بك عند النقر فوق زر تنزيل – يبدو أن المشروع نظيف. وعلى ما يبدو، لأن الحمولة الخبيثة لم يتم توزيعها مباشرة عبر مشروع officepackage، لكن عبر صفحة الويب المرتبطة به. كيف يكون ذلك ممكنًا؟
الحقيقة هي أن كل مشروع يتم إنشاؤه على SourceForge يحصل على اسم نطاق خاص به واستضافة على sourceforge.io. لذا، يتم منح مشروع باسم officepackage صفحة ويب على العنوان officepackage.sourceforge.io[.]. ويمكن لمحركات البحث فهرسة هذه الصفحات بسهولة وتظهر في أعلى نتائج البحث. وهذه هي الطريقة التي يجذب بها المهاجمون الضحايا.
عند زيارة officepackage.sourceforge.[.]io من خلال محرك بحث، تم توجيه المستخدمين إلى صفحة توفر تنزيلات لأي إصدار تقريبًا من مجموعة Microsoft Office. لكن، كما هو الحال دائمًا، يكمن الخطر في التفاصيل: إذا مررت المؤشر فوق الزر تنزيل، فسوف يعرض شريط حالة المتصفح رابطًا إلى https[:]//loading.sourceforge[.]io/download. هل اكتشفت الفخ؟ لا علاقة للرابط الجديد بصفحة officepackage؛ ويؤدي إلى مشروع loading وهو مشروع مختلف تمامًا.
يؤدي الزر “تنزيل” من صفحة “officepackage” على بوابة برامج SourceForge إلى مشروع مختلف تمامًا
بعد النقر، لا تتم إعادة توجيه المستخدمين إلى صفحة مشروع loading، لكن إلى موقع وسيط آخر يحتوي على زر تنزيل آخر. وفقط بعد النقر على هذا الزر، تلقى المستخدم، الذي أنهكه التصفح، أخيرًا ملفًا – أرشيفًا باسم vinstaller.zip. واحتوى هذا الأرشيف على أرشيف آخر، وداخل هذا الأرشيف الثاني كان هناك برنامج تثبيت Windows ضار.
وفي قلب هذه الدمية الشريرة كان هناك برنامجان ضاران: بدلًا من منتجات Microsoft، تم تشغيل برنامج تعدين وClipBanker – وهو برنامج ضار لاستبدال عناوين محافظ العملات المشفرة في الحافظة – على جهاز الضحية بعد تشغيل برنامج التثبيت. للحصول على تفاصيل مخطط الإصابة، راجع النسخة الكاملة للدراسة على مدونتنا Securelist.
برنامج تثبيت TookPS ضار متنكر في صورة برنامج شرعي
لا يقتصر مجرمو الإنترنت على SourceForge وGitHub. وفي حالة أخرى حديثة اكتشفها خبراؤنا، تبين أن المهاجمين كانوا يوزعون برنامج التنزيل الضار TookPS، المألوف لدينا بالفعل من عملاء DeepSeek وGrok المزيفين، باستخدام مواقع ويب مزيفة مع تنزيلات مجانية لبرامج متخصصة. واكتشفنا سلسلة كاملة من هذه المواقع التي تقدم للمستخدمين نسخًا مقرصنة من UltraViewer وAutoCAD وSketchUp، وغيرها من البرامج الاحترافية الشهيرة، وهذا يعني أن الهجوم لم يكن يستهدف المستخدمين المنزليين فحسب، بل استهدف أيضًا المستقلين المحترفين والمؤسسات. وكان من بين الملفات الضارة الأخرى التي تم اكتشافها أسماء Ableton.exe وQuickenApp.exe، وهي إصدارات مزعومة من تطبيقات صناعة الموسيقى وإدارة الأموال الشهيرة.
صفحات مزيفة توزع TookPS
عن طريق وسائل غير مباشرة، قام برنامج التثبيت بتنزيل بابين خلفيين uلى جهاز الضحية: Backdoor.Win32.TeviRat وBackdoor.Win32.Lapmon. تفضل بمراجعة منشور آخر على Securelist لمعرفة كيفية وصول البرامج الضارة إلى جهاز الضحية بالضبط. ومن خلال البرامج الضارة، تمكن المهاجمون من الوصول الكامل إلى جهاز الكمبيوتر الخاص بالضحية.
كيفية حماية نفسك
أولاً، تجنب تنزيل البرامج المقرصنة. تحت أي ظرف من الظروف. مطلقًا. قد يبدو البرنامج المقرصن مجانيًا ومتاحًا على الفور بشكل مغرٍ، لكن الثمن الذي ستدفعه لن يُقاس بالمال، بل بالبيانات – بياناتك أنت. وكلا، هذا لا يعني صور العائلة ومحادثاتك مع الأصدقاء. يستهدف مجرمو الإنترنت محافظ العملات المشفرة الخاصة بك، وتفاصيل بطاقات الدفع، وكلمات مرور حساباتك – وحتى موارد جهاز الكمبيوتر الخاص بك لتعدين العملات المشفرة.
إليك قائمة بالقواعد التي نوصي بها لأي شخص يستخدم SourceForge وGitHub وبوابات البرامج الأخرى.
- إذا لم تتمكن من شراء النسخة الكاملة من التطبيق، استخدم البدائل أو الإصدارات التجريبية، وليس البرامج المقرصنة. قد لا تحصل على الوظيفة الكاملة، لكن على الأقل هناك ضمان بأن جهازك آمن.
- تأكد من تنزيل البرامج من مصادر موثوقة فقط. كما تظهر ممارسات SourceForge وGitHub، حتى في هذه الحالة يجب أن تتوخى الحذر وتفحص جميع الملفات التي يتم تنزيلها باستخدام برنامج مكافحة الفيروسات.
- احرص على حماية عملاتك المشفرة وبياناتك المصرفية باستخدامأدوات موثوقة. تعامل مع المحافظ الرقمية بالقدر نفسه من الاهتمام الذي توليه للمحافظ التقليدية.
قراءات إضافية لدعم عدم تنزيل البرامج المقرصنة:
النصائح