Спойлер: ничего хорошего. Вместе с пиратским софтом вы, вероятнее всего, обзаведетесь майнером, стилером или бэкдором.
Что вы делаете, когда нужно скачать программу, но возможности купить официальную лицензию пока нет? Правильный ответ: «Выбираю пробную версию» или «Ищу бесплатные аналоги». Неправильный: «Ищу в поисковике взломанную версию необходимого ПО».
Альтернативные неизвестные источники зачастую предлагают взломанную версию программы… и еще кое-что. В итоге пользователь, продираясь сквозь напичканные рекламой сайты, зачастую все-таки получает нужную программу (чаще всего — без возможности последующего обновления и сетевых функций), а в довесок — майнер, стилер или что еще туда положили хакеры.
Сегодня на примере реальных кейсов расскажем, что не так с ресурсами, которые предлагают скачать любое ПО здесь и сейчас.
И эта возможность, как и в случае с GitHub, — камень преткновения на пути к высокому уровню безопасности. Рассмотрим лишь один пример: наши эксперты обнаружили на SourceForge проект с названием officepackage. На первый взгляд выглядит безобидно: понятное описание, хорошее название и даже один положительный отзыв.
Страница officepackage на софт-портале SourceForge
А если мы скажем, что описание и файлы полностью скопированы с чужого проекта на GitHub? Уже подозрительно! При этом никаких зловредов при клике на кнопку Скачать загружено не будет — проект условно чистый. Условно, потому что вредоносная нагрузка распространялась не напрямую через проект officepackage, а через ассоциированную с ним веб-страницу. Но как это возможно?
Дело в том, что каждый проект, созданный на SourceForge, получает свое доменное имя и хостинг на сайте sourceforge.io. Так, проект с названием officepackage получит веб-страницу по адресу officepackage.sourceforge[.]io. Подобные страницы великолепно индексируются поисковиками и зачастую занимают топовые места в выдаче. Именно таким образом злоумышленники и привлекают жертв.
При переходе из поисковика на officepackage.sourceforge[.]io пользователи попадали на страницу, где им предлагали скачать практически любые версии офисного пакета Microsoft Office. Но дьявол, как обычно, крылся в деталях: если навести курсор на кнопку Скачать, то в статусной строке браузера подсвечивалась ссылка на https[:]//loading.sourceforge[.]io/download. Заметили подвох? Новая ссылка не имеет никакого отношения к officepackage, loading — это совсем другой проект.
Кнопка загрузки со страницы officepackage на софт-портале SourceForge ведет совсем на другой проект
А после клика пользователи перенаправлялись не на страницу проекта loading, а на очередной сайт-прокладку с очередной же кнопкой Скачать. И лишь после нажатия на нее утомленный серфингом пользователь наконец-то получал файл — архив vinstaller.zip. В нем лежал другой архив, а уж во втором архиве — вредоносный установщик Windows Installer. В общем, все как в сказке: «На море на океане есть остров, на том острове дуб стоит, под дубом сундук зарыт, в сундуке — заяц, в зайце — утка, в утке — яйцо, в яйце — игла…».
В нашем случае игл оказалось две: после запуска установщика на устройстве жертвы оказывались вовсе не продукты Microsoft, а майнер и ClipBanker — зловред для подмены адресов криптокошельков в буфере обмена на адреса злоумышленников.
Мы обнаружили целую серию таких сайтов, предлагавших пользователям крякнутые версии UltraViewer, AutoCAD, SketchUp и других популярных профессиональных программ, — то есть атака оказалась нацелена не только на домашних пользователей, но и на профессионалов-фрилансеров и организации.
Среди прочих имен детектируемых вредоносных файлов — Ableton.exe и QuickenApp.exe: якобы версии приложений для написания музыки и управления личными финансами.
Как выглядят поддельные страницы, распространяющие TookPS
Установщик путем непростых манипуляций загружал на устройство жертвы два бэкдора — Backdoor.Win32.TeviRat и Backdoor.Win32.Lapmon. С помощью зловредов злоумышленникам удавалось получить полный доступ к компьютеру жертвы.
Вот список правил, которых мы рекомендуем придерживаться каждому человеку, работающему с SourceForge, и другими софт-порталами.
Что вы делаете, когда нужно скачать программу, но возможности купить официальную лицензию пока нет? Правильный ответ: «Выбираю пробную версию» или «Ищу бесплатные аналоги». Неправильный: «Ищу в поисковике взломанную версию необходимого ПО».
Альтернативные неизвестные источники зачастую предлагают взломанную версию программы… и еще кое-что. В итоге пользователь, продираясь сквозь напичканные рекламой сайты, зачастую все-таки получает нужную программу (чаще всего — без возможности последующего обновления и сетевых функций), а в довесок — майнер, стилер или что еще туда положили хакеры.
Сегодня на примере реальных кейсов расскажем, что не так с ресурсами, которые предлагают скачать любое ПО здесь и сейчас.
Майнер и стилер на SourceForge
SourceForge — это некогда крупнейший сайт, посвященный Open Source, в некотором смысле прародитель GitHub. Но не подумайте плохого: сейчас SourceForge по-прежнему активен, он предоставляет услуги хостинга и распространения программного обеспечения. На сайте софт-портала большое количество проектов, при этом любой желающий может загрузить туда свой.И эта возможность, как и в случае с GitHub, — камень преткновения на пути к высокому уровню безопасности. Рассмотрим лишь один пример: наши эксперты обнаружили на SourceForge проект с названием officepackage. На первый взгляд выглядит безобидно: понятное описание, хорошее название и даже один положительный отзыв.
Страница officepackage на софт-портале SourceForge
А если мы скажем, что описание и файлы полностью скопированы с чужого проекта на GitHub? Уже подозрительно! При этом никаких зловредов при клике на кнопку Скачать загружено не будет — проект условно чистый. Условно, потому что вредоносная нагрузка распространялась не напрямую через проект officepackage, а через ассоциированную с ним веб-страницу. Но как это возможно?
Дело в том, что каждый проект, созданный на SourceForge, получает свое доменное имя и хостинг на сайте sourceforge.io. Так, проект с названием officepackage получит веб-страницу по адресу officepackage.sourceforge[.]io. Подобные страницы великолепно индексируются поисковиками и зачастую занимают топовые места в выдаче. Именно таким образом злоумышленники и привлекают жертв.
При переходе из поисковика на officepackage.sourceforge[.]io пользователи попадали на страницу, где им предлагали скачать практически любые версии офисного пакета Microsoft Office. Но дьявол, как обычно, крылся в деталях: если навести курсор на кнопку Скачать, то в статусной строке браузера подсвечивалась ссылка на https[:]//loading.sourceforge[.]io/download. Заметили подвох? Новая ссылка не имеет никакого отношения к officepackage, loading — это совсем другой проект.
Кнопка загрузки со страницы officepackage на софт-портале SourceForge ведет совсем на другой проект
А после клика пользователи перенаправлялись не на страницу проекта loading, а на очередной сайт-прокладку с очередной же кнопкой Скачать. И лишь после нажатия на нее утомленный серфингом пользователь наконец-то получал файл — архив vinstaller.zip. В нем лежал другой архив, а уж во втором архиве — вредоносный установщик Windows Installer. В общем, все как в сказке: «На море на океане есть остров, на том острове дуб стоит, под дубом сундук зарыт, в сундуке — заяц, в зайце — утка, в утке — яйцо, в яйце — игла…».
В нашем случае игл оказалось две: после запуска установщика на устройстве жертвы оказывались вовсе не продукты Microsoft, а майнер и ClipBanker — зловред для подмены адресов криптокошельков в буфере обмена на адреса злоумышленников.
Вредоносный установщик TookPS под видом легитимных программ
Но одними лишь SourceForge и GitHub кибернегодяи не ограничиваются. Еще один свежий кейс от наших экспертов: злоумышленники распространяют уже знакомый нам по фальшивым клиентам DeepSeek и Grok вредоносный загрузчик TookPS с помощью сайтов-подделок для бесплатного скачивания специализированного ПО.Мы обнаружили целую серию таких сайтов, предлагавших пользователям крякнутые версии UltraViewer, AutoCAD, SketchUp и других популярных профессиональных программ, — то есть атака оказалась нацелена не только на домашних пользователей, но и на профессионалов-фрилансеров и организации.
Среди прочих имен детектируемых вредоносных файлов — Ableton.exe и QuickenApp.exe: якобы версии приложений для написания музыки и управления личными финансами.
Как выглядят поддельные страницы, распространяющие TookPS
Установщик путем непростых манипуляций загружал на устройство жертвы два бэкдора — Backdoor.Win32.TeviRat и Backdoor.Win32.Lapmon. С помощью зловредов злоумышленникам удавалось получить полный доступ к компьютеру жертвы.
Как защититься
Во-первых, не скачивать пиратские программы. Ни при каких условиях. Никогда. Загрузив «взломанное» чудо-юдо к себе на компьютер, вы, возможно, даже сможете бесплатно воспользоваться программой, — но цена подобного использования будет измеряться не в деньгах, а в ваших данных. И нет, злоумышленников на самом деле вряд ли интересуют ваши семейные фотографии и переписки с лучшими друзьями. Им нужны криптокошельки, данные банковских карт, пароли от аккаунтов, в конце концов — мощности вашего компьютера для майнинга криптовалюты.Вот список правил, которых мы рекомендуем придерживаться каждому человеку, работающему с SourceForge, и другими софт-порталами.
- Если вы не можете купить полноценную версию приложения, используйте аналоги или пробные версии, а не взломанные продукты. Да, скорее всего, вы получите урезанный функционал, но зато ваше устройство гарантированно будет в безопасности.
- Скачивайте программы только из доверенных источников. Как показывает практика SourceForge и GitHub, даже в таком случае следует быть предельно осторожными и проверять скачанные файлы антивирусом.
- Защищайте свою криптовалюту и банковские данные надежными средствами. С виртуальными кошельками нужно обращаться с таким же пиететом, как и с физическими.
