روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  وقتی به برنامه‌ای نیاز دارید اما همچنان نمی‌توانید لایسنس رسمی آن را خریداری کنید چه می‌کنید؟ جواب درست: «استفاده از نسخه آزمایشی» یا «پیدا کردن یک جایگزین رایگان». جواب غلط: «در اینترنت دنبال نسخه کرک‌شده گشتن». منابع مشکوک معمولاً نسخه‌های کرک‌شده نرم‌افزارها را همراه با دیگر ابزارهای غیرقانونی ارائه می‌دهند. پس از گشت و گذار در سایت‌هایی که پر از تبلیغات هستند، ممکن است برنامه‌ای که می‌خواهید را پیدا کنید (معمولاً بدون آپدیت‌های آینده و قابلیت‌های شبکه)، اما در عین حال ممکن است برنامه شما به همراه یک ماینر، دزدگیر یا هر چیز دیگری که مخرب باشد، نصب شود.

بر اساس نمونه‌های دنیای واقعی، ما توضیح می‌دهیم که چرا باید از سایت‌هایی که دانلودهای فوری نرم‌افزارهای پرتقاضا را ارائه می‌دهند، خودداری کنید.

ماینر و سارق در SourceForge

SourceForge  زمانی بزرگترین سایت برای هر چیزی مربوط به نرم‌افزارهای متن باز بود و برای GitHub یک پیش‌کسوت محسوب می‌شد. اما فکر نکنید که SourceForge از بین رفته است – امروز این سایت خدمات میزبانی و توزیع نرم‌افزار را ارائه می‌دهد. پورتال نرم‌افزاری آن میزبان پروژه‌های متعددی است که توسط هر کسی که بخواهد آپلود می‌شوند. و مانند GitHub، این جهانی بودن همان چیزی است که مانع از تأمین امنیت سطح بالا می‌شود. بیایید فقط یک مثال را بررسی کنیم: کارشناسان ما پروژه‌ای به نام officepackage را در SourceForge پیدا کردند. در نگاه اول، این پروژه بی‌خطر به نظر می‌رسد: یک دیسکریپشن واضح، نامی موجه و حتی نظرات کاربری درست و مثبت.

اما اگر به شما بگوییم که توضیحات و فایل‌ها به طور کامل از یک پروژه غیرمرتبط در GitHub کپی شده بودند چه؟ زنگ خطرها دیگر شروع می‌کنند به صدا دادن. با این حال، وقتی دکمه دانلود را می‌زنید، هیچ بدافزاری به کامپیوتر شما وارد نمی‌شود – این پروژه ظاهراً پاک است. می‌گوییم ظاهراً، زیرا بار مخرب مستقیماً از طریق پروژه officepackage توزیع نشده، بلکه از طریق صفحه وب مرتبط با آن وارد شده است. چگونه چنین چیزی ممکن است؟ واقعیت این است که هر پروژه‌ای که در SourceForge ایجاد می‌شود، نام دامنه و میزبانی اختصاصی بر روی sourceforge.io دریافت می‌کند. بنابراین پروژه‌ای به نام officepackage یک صفحه وب به آدرس officepackage.sourceforge[.]io دریافت می‌کند. این صفحات به راحتی توسط موتورهای جستجو ایندکس می‌شوند و در نتایج جستجو رتبه بالایی دارند. اینگونه است که مهاجمان قربانیان را جذب می‌کنند. زمانی که کاربران از طریق موتور جستجو به officepackage.sourceforge[.]io مراجعه کردند، صفحه‌ای ظاهر شد که نسخه‌های مختلف بسته نرم‌افزاری Microsoft Office را برای دانلود ارائه می‌داد. اما همانطور که همیشه، مشکل در جزئیات بود: وقتی که بر روی دکمه دانلود حرکت می‌کردید، نوار وضعیت مرورگر نشان می‌داد که لینک به https[:]//loading.sourceforge[.]io/download هدایت می‌شود. آیا تله را دیدید؟ لینک جدید هیچ ارتباطی با officepackage ندارد؛ loading یک پروژه کاملاً متفاوت است.

و پس از کلیک کردن، کاربران به صفحه پروژه loading هدایت نشدند، بلکه به یک سایت واسط دیگر با دکمه دانلود دیگری منتقل شدند. و فقط پس از کلیک بر روی این دکمه، کاربر که از گشت و گذار در اینترنت خسته شده بود، بالاخره فایلی نصیبش شد – فایلی به نام vinstaller.zip. درون این فایل یک آرشیو دیگر بود و در داخل آن، یک نصب‌کننده ویندوز مخرب وجود داشت. در قلب این عروسک روسیِ تو در تو دو بدافزار پنهان شده بودند: به جای محصولات مایکروسافت، یک ماینر و ClipBanker -  بدافزاری که آدرس‌های کیف پول کریپتو را در کلیپ‌بورد جایگزین می‌کند – پس از اجرای نصب‌کننده، روی دستگاه قربانی فعال شدند.

نصب‌کننده مخرب TookPS با پوشش نرم‌افزار قانونی

جرائم سایبری به محدود به SourceForge و GitHub نمی‌شوند. در یک مورد اخیر که توسط کارشناسان ما کشف شد، مهاجمان در حال توزیع دانلودر مخرب TookPS بودند که قبلاً آن را از نسخه‌های تقلبی DeepSeek و Grok شناسایی کرده‌ایم، از طریق سایت‌های جعلی که دانلود رایگان نرم‌افزارهای تخصصی را ارائه می‌دهند. ما مجموعه‌ای از این سایت‌ها را کشف کردیم که نسخه‌های کرک‌شده نرم‌افزارهای محبوب حرفه‌ای مانند UltraViewer، AutoCAD، SketchUp و دیگر برنامه‌های مشابه را برای دانلود قرار داده بودند، به این معنا که حمله تنها معطوف به کاربران خانگی نبوده بلکه به فریلنسرهای حرفه‌ای و سازمان‌ها نیز هدف قرار داده شده بود. دیگر فایل‌های مخرب شناسایی‌شده شامل نام‌های Ableton.exe و QuickenApp.exe بودند که نسخه‌های جعلی از برنامه‌های محبوب ساخت موسیقی و مدیریت مالی بودند.

با روش‌های غیرمستقیم، نصب‌کننده دو بک‌در را در دستگاه قربانی دانلود کرد: Backdoor.Win32.TeviRat و Backdoor.Win32.Lapmon.  برای فهمیدن جزئیات دقیق نحوه تحویل بدافزار به دستگاه قربانی، می‌توانید به یک پست دیگر در وبلاگ Securelist مراجعه کنید. این بدافزار دسترسی کامل به کامپیوتر قربانی را برای مهاجمان فراهم کرد.

راهکارهای امنیتی

نخست اینکه نرم‌افزارهای پایرت‌شده یا سرقتی را دانلود نکنید. تحت هیچ شرایطی. هرگز! برنامه کرک‌شده شاید به طور وسوسه‌آمیزی رایگان باشد و سریع هم قابلیت دسترسی داشته باشد اما شما بهای این رایگان بودن و قابلیت دسترسی را نه با پول که با داده‌های خود پرداخت خواهید داد. و منظور از داده عکس و فیلم و چت با دوستانتان نیست؛ بلکه داریم از کریپتو والت‌ها و جزئیات کارت‌های پرداختی و پسوردهای اکانت‌تان حرف می‌زنیم (حتی منابع کامپیوتر شما می‌تواند برای ماین کردن رمزارزها استفاده شود). در ادامه لیستی تهیه کردیم از قوانینی که آن را به هر کسی که دارد از سورس‌فورج، گیت‌هاب و سایر پورتال‌های نرم‌افزاری استفاده می‌کند توصیه می‌کنیم. اگر نمی‌توانید نسخه کامل اپی را دریافت کنید از نسخه‌های آزمایشی جایگزین استفاده کنید و نه نرم‌افزارهای کرک‌شده. شاید کارایی تام نداشته باشند اما دست کم امنیت‌ شما تضمین شده است. فقط از منابع معتمد اقدام به دانلود برنامه‌ها کنید. در مورد SourceForge و GitHub باید با احتیاط ادامه دهید و تمام فایل‌های دانلود شده را با یک آنتی ویروس اسکن کنید. با ابزارهای قابل اعتماد از ارز دیجیتال و داده‌های بانکی خود محافظت کنید. برای کیف پول‌های مجازی خود درست به اندازه کیف پول های فیزیکی خود احترام قائل باشید و توجه خرج کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.