دانلود برنامه کرک شده: تهدیداتی که نمی ‌بینید!

اگر یک برنامه کرک‌ شده دانلود کنید چه اتفاقی می ‌افتد؟

اسپویلر: هیچ چیز خوبی در انتظارتان نیست. همراه با نرم ‌افزارهای کرک‌ شده، احتمال زیادی دارد که یک ماینر (برنامه ‌ای برای استخراج رمز ارز با استفاده از منابع سیستم شما)، بک ‌دور (راه نفوذ مخفیانه برای دسترسی و کنترل از راه دور سیستم) یا برنامه سرقت اطلاعات (نرم ‌افزاری که رمزها، اطلاعات بانکی یا فایل ‌های شخصی شما را می ‌دزدد) هم روی سیستم شما نصب شود.

چه کاری باید انجام دهید وقتی به یک برنامه نیاز دارید ولی هنوز قادر به خرید نسخه اورجینال آن نیستید؟

پاسخ درست: "از نسخه آزمایشی استفاده کنید" یا "یک جایگزین رایگان پیدا کنید."

پاسخ اشتباه: "دنبال نسخه کرک ‌شده بگردید."

منابع مشکوک معمولا نسخه‌ های کرک ‌شده نرم ‌افزارها را همراه با سایر برنامه‌ های مخرب ارائه می ‌دهند. پس از گشت ‌و گذار در سایت ‌های پر تبلیغ، ممکن است برنامه ‌ای که نیاز دارید را پیدا کنید (معمولا بدون دریافت آپدیت ‌های آینده و امکانات آنلاین)، اما با ماینر، برنامه سرقت اطلاعات یا هر نوع تهدید دیگری که همراهش است، نصب می ‌شود.

بر اساس مثال‌ های واقعی، در اینجا توضیح می ‌دهیم که چرا باید از سایت ‌هایی که دانلود فوری برنامه‌ های پرطرفدار را پیشنهاد می‌ دهند، دوری کنید.

ماینر و سرقت اطلاعات در SourceForge

SourceForge زمانی بزرگ ‌ترین سایت برای نرم ‌افزارهای متن‌ باز (Open Source) بود و پیشگام GitHub به حساب می ‌آمد. اما به این معنا نیست که SourceForge دیگر فعالیتی ندارد – امروز هم خدمات میزبانی و توزیع نرم ‌افزار را ارائه می ‌دهد. پورتال نرم ‌افزاری آن میزبان پروژه های مختلفی است که توسط هر کسی که بخواهد، آپلود می‌ شود.

و همانطور که در GitHub (پلتفرمی برای اشتراک ‌گذاری کدهای نرم ‌افزاری و همکاری در پروژه ‌های متن‌ باز) هم مشاهده می‌ شود، این جهانی ‌بودن مانعی برای امنیت بالاست. بیایید فقط یک مثال بزنیم: کارشناسان ما یک پروژه به نام officepackage را در SourceForge پیدا کردند. در نگاه اول، به نظر بی‌ خطر می ‌آید: توضیح واضح، نام ساده، حتی یک بررسی مثبت.

صفحه Officepackage در SourceForge

صفحه "Officepackage" در SourceForge

اما اگر به شما بگوییم که توضیحات و فایل ها کاملا از یک پروژه غیرمرتبط در GitHub کپی شده بودند، چه؟ زنگ های هشدار هم ‌اکنون به صدا درآمده ‌اند. با این حال، زمانی که روی دکمه دانلود کلیک می کنید، هیچ بدافزاری وارد سیستم شما نمی‌ شود – پروژه ظاهرا بی‌ خطر است. چون بار مخرب مستقیما از طریق پروژه officepackage توزیع نشده، بلکه از طریق صفحه وب مرتبط با آن منتقل شده است. این چگونه ممکن است؟

واقعیت این است که هر پروژه ‌ای که در SourceForge ایجاد می ‌شود، یک نام دامنه و میزبانی (هاست) اختصاصی در sourceforge.io دریافت می ‌کند. بنابراین به پروژه ‌ای به نام officepackage یک صفحه وب در officepackage.sourceforge[.]io داده می ‌شود. این صفحات به ‌راحتی توسط موتورهای جستجو ایندکس می‌ شوند و در نتایج جستجو رتبه بالایی کسب می‌ کنند. این دقیقا همان روشی است که مهاجمان برای جذب قربانیان از آن استفاده می ‌کنند.

زمانی که کاربران از طریق موتور جستجو به صفحه officepackage.sourceforge[.]io می ‌رفتند، به صفحه ‌ای هدایت می‌ شدند که دانلود تقریبا تمامی نسخه‌ های مجموعه Microsoft Office را پیشنهاد می‌ کرد. اما همانطور که همیشه گفته می ‌شود، شیطان در جزئیات است: وقتی ماوس را روی دکمه دانلود نگه می ‌داشتید، نوار وضعیت مرورگر لینکی به https[:]//loading.sourceforge[.]io/download را نمایش می‌ داد. تله را متوجه شدید؟ این لینک جدید هیچ ارتباطی با officepackage ندارد؛ loading یک پروژه کاملا متفاوت است.

دکمه دانلود در صفحه officepackage پورتال SourceForge منجر به پروژه ای کاملا متفاوت می شود.

دکمه "دانلود" در صفحه "officepackage" پورتال SourceForge منجر به پروژه ای کاملا متفاوت می شود.

و پس از کلیک، کاربران نه به صفحه پروژه loading، بلکه به یک سایت واسط دیگر با دکمه دانلود جدیدی منتقل می‌ شدند. و تنها بعد از کلیک روی این دکمه، کاربری که از گشت‌ و گذار خسته شده بود، در نهایت یک فایل به نام vinstaller.zip دریافت می ‌کرد. داخل این فایل فشرده، یک فایل فشرده دیگر بود و در داخل آن، یک Windows Installer مخرب قرار داشت.

در عمق این تهدید پیچیده دو بدافزار وجود داشتند: پس از اجرای Installer، به جای محصولات مایکروسافت، یک ماینر و ClipBanker (بدافزاری که آدرس‌ های کیف پول کریپتو را در حافظه کلیپ ‌برد جایگزین می‌ کند) وارد دستگاه قربانی شدند. جزئیات کامل در بلاگ Securelist

نصب کننده مخرب TookPS که به عنوان یک نرم افزار معتبر پنهان شده است

مجرمان سایبری فعالیت خود را تنها به SourceForge و GitHub محدود نمی‌ کنند. در یکی از موارد اخیر که توسط کارشناسان ما شناسایی شد، مهاجمان در حال توزیع دانلودر بدافزار TookPS بودند؛ بدافزاری که قبلا آن را در نسخه ‌های جعلی DeepSeek و Grok نیز دیده بودیم. این دانلودر از طریق وب‌ سایت‌ های جعلی که دانلود رایگان نرم ‌افزارهای تخصصی را ارائه می‌ دادند، منتشر می ‌شد. ما مجموعه ‌ای از این سایت ‌ها را شناسایی کردیم که نسخه ‌های کرک‌ شده نرم ‌افزارهایی مانند UltraViewer ،AutoCAD ،SketchUp و سایر نرم ‌افزارهای حرفه ‌ای پرکاربرد را در اختیار کاربران قرار می ‌دادند. این موضوع نشان می ‌دهد که هدف حمله فقط کاربران خانگی نبوده، بلکه فریلنسرهای حرفه ‌ای و حتی سازمان‌ ها نیز در معرض خطر قرار داشته ‌اند. سایر فایل ‌های مخربی که شناسایی شد شامل Ableton.exe و QuickenApp.exe بودند که نسخه ‌های جعلی نرم ‌افزارهای محبوب ایجاد موسیقی و مدیریت مالی به نظر می‌ رسیدند.

صفحات جعلی توزیع کننده TookPS

از طریق مسیری غیرمستقیم، نصب ‌کننده دو بک دور به نام ‌های Backdoor.Win32.TeviRat و Backdoor.Win32.Lapmon را روی دستگاه قربانی دانلود می ‌کرد. این بدافزارها دسترسی کامل به کامپیوتر قربانی را در اختیار مهاجمان قرار می ‌دادند.

چگونه از خودتان محافظت کنید؟

اول اینکه، هیچ‌ وقت نرم ‌افزارهای کرک ‌شده را دانلود نکنید. تحت هیچ شرایطی. حتی یک ‌بار هم نه. یک برنامه کرک‌ شده ممکن است وسوسه ‌انگیز باشد؛ هم رایگان است و هم بلافاصله قابل ‌دسترس. اما هزینه ای که می‌ پردازید، مالی نیست، بلکه بهای آن داده‌ های شماست. و منظور فقط عکس‌ های خانوادگی یا چت های دوستانه نیست؛ مجرمان سایبری به دنبال کیف پول‌ های رمز ارز، اطلاعات کارت ‌های بانکی، رمزهای عبور حساب ‌ها و حتی منابع سخت ‌افزاری سیستم شما برای استخراج رمز ارز هستند.

در ادامه چند نکته و توصیه مهم برای همه کاربران، از جمله افرادی که از SourceForge ،GitHub یا سایر پورتال ‌های نرم ‌افزاری استفاده می ‌کنند، آورده شده است:

اگر امکان خرید نسخه کامل یک نرم ‌افزار را ندارید، از نسخه‌ های آزمایشی یا جایگزین ‌های رایگان استفاده کنید، نه نرم‌ افزارهای کرک‌ شده. ممکن است به تمام قابلیت ‌ها دسترسی نداشته باشید، اما دست ‌کم از امنیت دستگاه خود مطمئن خواهید بود.
برنامه ‌ها را فقط از منابع معتبر دانلود کنید. حتی در این مواقع هم باید احتیاط کنید و تمامی فایل ‌های دانلود شده را با یک آنتی ‌ویروس قابل‌ اعتماد اسکن کنید. همچنین از آنتی ‌ویروس‌ های کرک ‌شده استفاده نکنید، چون این برنامه ‌ها خود ممکن است تهدید امنیتی باشند.
برای محافظت از اطلاعات بانکی و کیف پول ‌های رمز ارز خود، از ابزارهای امنیتی مطمئن مانند Kaspersky Premium استفاده کنید. این نرم ‌افزار امنیتی با قابلیت‌ های پیشرفته خود، از اطلاعات حساس شما در برابر تهدیدات آنلاین محافظت می‌ کند. با کیف پول ‌های دیجیتال همان‌ طور رفتار کنید که با کیف پول ‌های واقعی رفتار می ‌کنید تا از سرقت اطلاعات و آسیب ‌های احتمالی جلوگیری کنید.

برای ایمن نگه داشتن دستگاه و داده ‌های شما در برابر تهدیدات مختلف، چند آنتی‌ ویروس معتبر و قدرتمند وجود دارد که می ‌توانید به آن‌ ها اعتماد کنید:

ESET Internet Security: این آنتی ‌ویروس امنیت بسیار بالایی را برای سیستم ‌های ویندوز، مک و اندروید فراهم می کند. همچنین دارای قابلیت‌ هایی مانند فایروال پیشرفته، حفاظت در برابر حملات فیشینگ و حفاظت از حریم خصوصی است.
Kaspersky Plus: این آنتی‌ ویروس یکی از گزینه‌ های معتبر و قدرتمند است که عملکرد بسیار خوبی در تست ‌های امنیتی دارد. با ویژگی‌ هایی همچون محافظت در برابر تهدیدات آنلاین، بدافزارها و حملات شبکه ‌ای، همچنین ابزارهایی برای حفظ حریم خصوصی و جلوگیری از فیشینگ، کسپرسکی پلاس از دستگاه شما به‌ طور کامل محافظت می ‌کند.

برای اطمینان از امنیت کامل و جلوگیری از مشکلات ناشی از نسخه ‌های کرک ‌شده، توصیه می ‌شود که لایسنس ‌های اورجینال آنتی ویروس را با گارانتی و پشتیبانی رایگان از فروشگاه آنلاین "ایده ارتباط تراشه" خریداری کنید. با این کار، می ‌توانید با خیال راحت از نرم ‌افزارهای امنیتی خود استفاده کرده و از دستگاه و اطلاعات خود در برابر تهدیدات مختلف محافظت نمایید.