على منصة ريديت والعديد من المنتديات العالمية تتزايد الشكايات من كراك ويندوز KMSPico والذي يستخدم عادة لتفعيل ويندوز وكذلك مايكروسوفت أوفيس، وهو موجود على الساحة منذ سنوات طويلة.
الشكايات المختلفة تتفق على أن أداة تفعيل ويندوز تعمل بعد اشهر من استخدامها وربما أيضا بعد سنوات على اختراق المحافظ الرقمية للمستخدم خصوصا إن كان يملك عملات رقمية مشفرة.
ما هو KMSPico؟
لفهم الأداة يجب أولًا فهم كلمة KMS وهي اختصار لـ Key Management Service، وهي تقنية شرعية من مايكروسوفت مخصصة لتفعيل نسخ ويندوز وأوفيس في الشركات والمؤسسات الكبيرة.
بدل أن تدخل الشركة مفتاح تفعيل يدويًا في كل جهاز، تُنشئ خادم KMS داخليًا تتصل به الأجهزة المرخصة داخل الشبكة لتفعيل نفسها بشكل مركزي.
مايكروسوفت نفسها توضح أن KMS يستخدم نموذج العميل والخادم لتنشيط الأجهزة ضمن بيئات الترخيص الجماعي، وأن عميل KMS يتصل بخادم KMS المضيف للتفعيل.
أما KMSPico فهو أداة غير شرعية تحاول تقليد هذه الفكرة. ينشئ ما يشبه خادم KMS وهميًا على الجهاز أو يعدل إعدادات التفعيل بحيث يعتقد ويندوز أو أوفيس أنهما يتصلان بخادم تفعيل صحيح.
وبحسب Red Canary، يستغل KMSPico تقنية KMS الشرعية التي تستخدمها الشركات لترخيص منتجات مايكروسوفت بكميات كبيرة، لكنه يفعل ذلك لتفعيل منتجات ويندوز وأوفيس دون امتلاك مفتاح ترخيص حقيقي.
إقرأ أيضا: فضيحة تسريبات Tea: رحلة داخل تطبيق كشف الخونة
حصان طروادة في أداة KMSPico
عند محاولة تنصيب أداة KMSPico سيمنعك مكافح الفيروسات الخاص بويندوز وكذلك الأمر بالنسبة لأب برنامج حماية آخر لأنه يعمل على تنزيل حصان طروادة أو ما يسمى تروجان والذي يفتح جهازك لبرمجيات سرقة المعلومات مثل RedLine Stealer وCryptBot، وهي عائلات خبيثة مصممة لسرقة كلمات المرور، ملفات الكوكيز، بيانات المتصفح، محافظ العملات الرقمية، بطاقات الدفع، وحتى رموز الجلسات التي تسمح للمهاجم بالدخول إلى حساباتك دون معرفة كلمة السر.
وبكلمات أبسط قد تظن أنك وفّرت ثمن رخصة ويندوز، بينما في الحقيقة منحت الهاكر مفتاح بريدك، حساباتك، محفظتك، وربما أموالك.
لا يحدث الإختراق حسب تجارب الضحايا بين ليلة وضحايا، يمكن أن يستغرق الأمر في الواقع أسابيع، حيث تعمل البرمجيات الخبيثة التي يتم تنزيلها على جهازك على جمع سجل التصفح والبحث فيه عن أي نطاقات تخص منصات مثل بينانس والمحافظ الرقمية.
وكلما كنت تتعامل مع هذه المنصات وتحول أموالا حقيقية ويتم رصد الرسائل والتحويلات على جهازك، كلما أصبحت هدفا للمخترقين الذين يقفون وراء الأداة التي لطالما نصحت بها مواقع تقنية مرموقة وخبراء في مجال تفعيل ويندوز.
إقرأ أيضا: اختراق متصفحات الذكاء الإصطناعي خلال 48 ساعة
فيروس CryptBot الذي يتم تنزيله على جهازك
في ديسمبر 2021، نشرت BleepingComputer تقريرًا عن مهاجمين يوزعون مثبتات KMSPico معدلة لإصابة أجهزة ويندوز ببرمجية تسرق محافظ العملات الرقمية. التقرير استند إلى أبحاث Red Canary، وحذر بوضوح من أن محاولة توفير ثمن الترخيص قد تنتهي بسرقة محافظ الكريبتو.
فيروس CryptBot ليس فيروسًا مزعجًا يغير خلفية الشاشة، إنه InfoStealer أي سارق معلومات، وظيفته جمع البيانات المفيدة للمهاجمين: بيانات المتصفحات، كلمات المرور، ملفات الكوكيز، محافظ العملات الرقمية، وربما لقطات شاشة أو معلومات عن النظام.
كما أن CryptBot قادر على الحصول على بيانات اعتماد المتصفحات، محافظ العملات الرقمية، كوكيز المتصفح، بطاقات الائتمان، والتقاط صور شاشة من الأجهزة المصابة.
إذا كان جهازك مصابًا، فقد تُسرق ملفات المحفظة، كلمات المرور المحفوظة، seed phrase إن كانت محفوظة في ملف، أو جلسات الدخول إلى منصات التداول والمحافظ المركزية.
وكذلك يتمكن الفيروس من الوصول إلى الحسابات المفتوحة على متصفحاتك ونتحدث عن حساب جوجل بدون الحاجة إلى كلمة المرور أو التحقق بخطوتين، وبالتالي يقوم الهاكر أثناء تشغيل الحاسوب بالدخول إلى حساب جوجل واستلام أي رموز ترسلها منصة العملات الرقمية التي وضعت بها المال ويقوم بالعملية على وجه السرعة ويحذف الرسائل ويترك محفظتك فارغة تماما.
إقرأ أيضا: خطر المكالمات الصامتة: كيف تحمي نفسك منها؟
فيروس RedLine Stealer
إذا كان CryptBot خطرًا على محافظ الكريبتو، فإن RedLine Stealer أوسع وأشهر في سرقة الحياة الرقمية كاملة، وهو من الفيروسات التي يمكن لأداة تفعيل ويندوز تنزيلها أيضا.
وكالة الأمن السيبراني السنغافورية وصفت RedLine في 2025 بأنه برمجية خبيثة من نوع Malware-as-a-Service مصممة لحصد معلومات حساسة من الأجهزة المخترقة، مثل بيانات الدخول، بيانات الإكمال التلقائي في المتصفح، والمعلومات المالية كبيانات بطاقات الائتمان.
يعتبر الخبراء أن RedLine بأنه من أكثر برمجيات سرقة المعلومات انتشارًا، وقادر على سرقة بيانات اعتماد ويندوز، معلومات المتصفح، محافظ العملات الرقمية، اتصالات FTP، البيانات البنكية، ومعلومات حساسة أخرى من الأجهزة المصابة، كما يمكنه في إصدارات معينة تحميل حمولات خبيثة ثانية وتنفيذ أوامر من خادم المهاجم.
وتقرير SecurityScorecard المفصل عن RedLine يذكر أنه يُوزع عبر الألعاب والتطبيقات والخدمات المقرصنة، ويسرق معلومات من متصفحات الويب، محافظ العملات الرقمية، وتطبيقات مثل FileZilla وDiscord وSteam وTelegram وVPN clients، إلى جانب جمع معلومات عن الجهاز المصاب.
إقرأ أيضا: تطبيقات IPTV تخفي فيروس Massiv لسرقة حسابك البنكي
خسائر بالملايين من الدولارات بسبب كراك ويندوز
على ريديت ومنصات مختلفة تحدث الضحايا عن خسائر تبدأ من بضعة مئات دولارات إلى آلاف الدولارات كما حدث مؤخرا مع شخص مقرب لنا إلى مئات الآلاف من الدولار ومحافظ أكبر.
وفي r/Bitcoin، نشر مستخدم قصة فقدان كل عملات بيتكوين التي يملكها بعد استخدام أداة تفعيل ويندوز، وربط النقاش الواقعة بتقارير KMSPico الخبيثة التي تسرق محافظ العملات الرقمية، مع فرضيات حول استخدام كلمات مرور محفوظة في Chrome للوصول إلى المحفظة.
وينصح الخبراء بحذف هذه الأداة وتنزيف الجهاز منها، بعد التنظيف، غيّر كلمات السر من جهاز آخر موثوق، وابدأ بالبريد الإلكتروني الرئيسي، ثم الحسابات المالية، ثم منصات العملات الرقمية، ثم الشبكات الاجتماعية.
فعّل المصادقة الثنائية بتطبيق موثوق أو مفتاح أمني، وسجل خروجك من كل الأجهزة والجلسات القديمة في تطبيقات البريد الإلكتروني والشبكات الاجتماعية.
راجع المحافظ ومنصات الدفع وألغِ أي أجهزة موثوقة أو API keys لا تعرفها، كلما اسرعت كان ذلك أفضل.
