使用盜版軟件通常都欠缺將來的更新和網絡功能,而資安風險更是多年以來的問題,例如資料盜竊、挖礦或後門程式等等,所以切勿因小失大,適當利用試用版或免費替代品也是其中一種解決方法。
SourceForge上的挖礦和盜竊工具
SourceForge曾經是最大規模的開源網站,也是GitHub的前身,至今仍然運作,但轉型為提供軟件託管和發佈服務,託管了多個項目,任何人都能夠上載,研究人員就找到一個名為officepackage的項目,乍看起來無害,具備清楚的描述、沒有奇怪的名字,甚至有好的評語。不過它的描述和檔案,都是直接從GitHub上複製的無關係項目,按下載並沒有任何事發生,因為惡意內容並非透過officepackage項目來散播,而是經由其相關的網頁。
所有在SourceForge上建建的項目都有自己的域名,並託管在sourceforge.io上,所以officepackage就會獲得officepackage.sourceforge[.]io網頁,這個網頁很容易被搜索引擎找到,並獲得高的排位,這就是攻擊者吸引受害者的方法。搜索引擎把用戶帶到瀏覽officepackage.sourceforge[.]io,看到接近所有版本的Microsoft Office可以下載時,魔鬼其實在細節,小心地指向「Download」按鍵,其連結指向https[:]//loading.sourceforge[.]io/download,連結與officepackage完全無關,而是一個完全不同的項目。
點擊之後,用戶會被帶到另一個中間網站放有另一個「Download」按鍵,在數次擊之後終於接收到檔案,它是一個名為vinstaller.zip壓縮檔,內裡還有另外一層壓縮才找到一個惡意的Windows Installer,當中含有挖礦程式和ClipBanker。
惡意程式TookPS偽裝裝合法軟件
網絡犯罪份子當然不會局限自己只在SourceForge和GitHub上活動,近日研究人員發現有攻擊者正在散播惡意TookPS下載工具,之前曾偽裝成DeepSeek和Grok客端,這次是經由假網站提供特別軟件下載,今次是假裝成破解版的UltraViewer、AutoCAD、SketchUp和其他熱門的專業軟件,意味著這攻擊並非只針對家庭用戶,同時也偵測到Ableton.exe和QuickenApp.exe,屬於音樂製作和財務管理應用程式。
下載工具會下載兩個後門程式到用戶的裝置,Backdoor.Win32.TeviRat和Backdoor.Win32.Lapmon,詳細資料可以瀏覽Securelist。
學會保護自己
首先,當然是在任何情況下都不要下載盜版軟件,俗語有云,免費可能才是最昂貴,這次失去的可能是用戶自己的個人資料,而且並不是家庭照片或朋友的聊天記錄,而是加密錢包、付費卡資料、帳號密碼等等,以下是建議使用SourceForge、GitHub或其他軟件散播網站時的事項:
- 如果不能購買完整版應用程式,使用替代品或試用版,即使可能沒有完整功能,但至少你的裝置比較安全。
- 只從可靠的來源下載程式,並且以防毒軟件掃瞄所有下載檔案。
- 使用可靠的工具保護你的加密貨幣和銀行資料
資料來源:Kaspersky Blog
