Image by Rawpixel.com, from Freepik
حملة البرمجيات الخبيثة الجديدة تستغل مشاريع SourceForge لسرقة العملات الرقمية والتجسس على المستخدمين
وقت القراءة: 2 دقائق
آخر التحديثات: Apr 10, 2025
-
![كيارا فابري]()
-
![فريق الترجمة والتوطين]()
ترجمة فريق الترجمة والتوطين خدمات الترجمة والتوطين
تستهدف حملة برامج الفدية الجديدة المستخدمين من خلال SourceForge، وهو موقع موثوق به ومعروف بتقديمه لمشاريع البرمجيات مفتوحة المصدر.
هل أنت في عجلة من أمرك؟ إليك الحقائق السريعة:
- يقوم الضحايا بتحميل برنامج تثبيت مزيف يحتوي على منجم عملات مشفرة مخفي و ClipBanker.
- يقوم البرمجية الخبيثة بإرسال بيانات المستخدم إلى المهاجمين عبر واجهة برمجة التطبيقات لـ Telegram.
- تتضمن سلسلة الهجوم أوامر VB scripts و PowerShell ، ومترجمات AutoIt.
كشف الباحثون من كاسبرسكي عن مخطط حيث يستخدم المهاجمون مشروعًا وهميًا لخداع الناس ودفعهم لتنزيل ملفات ضارة مُتنكرة على هيئة أدوات مكتبية.
المشروع الوهمي، الذي يطلق عليه اسم “officepackage”، يبدو غير ضار على صفحة SourceForge. بالإضافة إلى ذلك، يقوم بنسخ وصفه من مشروع إضافات Microsoft Office الحقيقي على GitHub. ولكن النطاق المرتبط officepackage.sourceforge.io يشير إلى موقع ويب مختلف تمامًا يقوم بإدراج تطبيقات مكتبية وهمية مع أزرار “تنزيل”.
يشرح الباحثون أن الصفحات تتم فهرستها بواسطة محركات البحث، لذا تبدو شرعية في نتائج البحث. ولكن بدلاً من البرامج المفيدة، يتم قيادة المستخدمين عبر متاهة مربكة من صفحات التنزيل التي تقوم في النهاية بتثبيت البرامج الضارة على أجهزة الكمبيوتر الخاصة بهم.
الملف المُنزَّل، الذي يُسمى vinstaller.zip، يحتوي على أدوات مخفية تشمل أرشيفًا محميًا بكلمة مرور، ومُثبت ويندوز يبدو كبيرًا ومشروعًا، ولكنه في الواقع مُمتلئ ببيانات غير مفيدة لخداع المستخدمين. عند تشغيله، يُشغل نصًا برمجيًا بسرية يُنزل الملفات من GitHub، ويستخرج المكونات الخبيثة، ويبدأ في التجسس على الجهاز.
إحدى النصوص البرمجية المخفية ترسل تفاصيل جهاز الضحية إلى المهاجمين من خلال تيليجرام. وهذا يشمل عنوان IP للكمبيوتر، واسم المستخدم، وبرنامج مكافحة الفيروسات، وحتى اسم وحدة المعالجة المركزية (CPU).
يقوم البرنامج الضار بعمليتين رئيسيتين: أولاً، يقوم بتثبيت منجم عملة رقمية يستخدم موارد الكمبيوتر بصمت لتوليد الأموال الرقمية للمهاجمين.
ثانيًا، يقوم بتثبيت نوع من البرامج الضارة تُسمى ClipBanker، التي تنتظر من المستخدمين نسخ عناوين محافظ العملات الرقمية ولصقها. عندما يقومون بذلك، يستبدل العنوان المحفظة بعنوان يمتلكه المهاجم، مما يعيد توجيه الأموال إليهم.
تستخدم البرامج الضارة عدة طرق للبقاء على النظام وإعادة التشغيل تلقائيًا حتى بعد إعادة التشغيل. تختبئ في المجلدات النظامية، وتضيف مفاتيح السجل الخاصة، وتنشئ خدمات ويندوز وهمية، وحتى أنها تختطف أدوات تحديث النظام.
للبقاء آمنين، ينصح الخبراء بشدة بتنزيل البرامج فقط من المصادر الرسمية، حيث أن التنزيلات المقرصنة أو غير الرسمية تحمل دائما خطر الإصابة بنسبة أعلى.
القصة السابقة
أحدث المقالات 
اترك تعليقًا
إلغاء