Netcrook Logo
👤 LOGICFALCON
🗓️ 07 Apr 2026  

مخطط طروادة على ريديت: كيف تسرق منشورات TradingView Premium المزيّفة المتداولين على المكشوف

العنوان الفرعي: حملة برمجيات خبيثة متطورة تستغل ثقة ريديت لسرقة بيانات الاعتماد والعملات المشفّرة من المتداولين الذين يُستدرجون بعروض TradingView Premium “المجانية”.

بدأ الأمر بوعدٍ مغرٍ للغاية يصعب على كثير من متداولي التجزئة مقاومته: نسخة “مكسورة الحماية” من TradingView Premium، متاحة مجانًا، بلا أي شروط. لكن خلف هذه المنشورات على ريديت تكمن عملية جريمة إلكترونية ماكرة، تتغذى على آمال المستثمرين غير المتنبهين - وعلى محافظهم. ما يبدو اختصارًا للوصول إلى أدوات تداول مميزة هو في الحقيقة طريق سريع إلى سرقة بيانات الاعتماد، وتفريغ محافظ العملات المشفّرة، واختراق الأجهزة على نظامي Windows وmacOS.

حقائق سريعة

  • منشورات ريديت الخبيثة تعرض TradingView Premium “مجانيًا”، لكنها في الواقع توصل برمجيات Vidar (على Windows) أو AMOS (على macOS).
  • يستخدم المهاجمون حسابات ريديت قديمة وsubreddits مُنشأة حديثًا للظهور بمظهر موثوق وتفادي الرصد.
  • تُستضاف الملفات على مواقع أعمال شرعية لكنها مخترقة، وتُحزم كأرشيفات محمية بكلمة مرور لتفادي فحوصات الأمان.
  • تستخدم حمولة Windows مُثبّتات ضخمة لتجاوز مضادات الفيروسات، بينما تستغل نسخ macOS إجراءات أمان Apple الجديدة.
  • تشير مراجعات المستخدمين المزيّفة والحذف السريع لتعليقات التحذير إلى سيطرة تشغيلية محكمة من قبل المهاجمين.

داخل الاحتيال: تشريح فخ برمجيات خبيثة على ريديت

تستهدف العملية جمهورًا متخصصًا لكنه مربح: متداولو التجزئة وعشاق العملات المشفّرة غير الراغبين في دفع تكلفة باقة TradingView المميزة الباهظة. يزرع المهاجمون subreddits صغيرة وحديثة الإنشاء بمنشورات تعد بنسخ “مدى الحياة” أو “مفتوحة بالكامل” لنظامي Windows وmacOS. تكاد المنشورات تتطابق في الشكل، وغالبًا ما ينشرها حسابات ريديت يتراوح عمرها بين ثلاث وست سنوات - ملفات تحمل شارة “Four Year Club”، لكن بنشاط حقيقي شبه معدوم. هذه الشرعية المستعارة سمة لحسابات مخترقة أو مشتراة.

يتضمن كل منشور لغة تسويقية مصقولة وأدلة تثبيت خطوة بخطوة، وأحيانًا كلمات مرور مكتوبة بخط عريض مثل “github” - في إشارة إلى منصات مطورين موثوقة. وتحت السطح، تعزز تعليقات “مستخدمين راضين” مزيفة، غالبًا مولدة بالذكاء الاصطناعي، وهمَ وجود مجتمع نشط وممتن. أما التعليقات التحذيرية التي تكشف الاحتيال فتُحذف بسرعة، ما يبرز قبضة المهاجمين التي لا تلين على السرد.

لكن الخطر الحقيقي يبدأ عندما ينقر الضحية رابط التحميل. فبدلًا من ميزة تداول، يتلقى أرشيف ZIP محميًا بكلمة مرور من موقع أعمال شرعي - مثل fotoflux[.]com أو techadapt[.]io - تم اختراقه ليعمل كمضيف للبرمجيات الخبيثة. على Windows، يكون المُثبّت ملفًا ضخمًا يتجاوز 780MB، مُحشوًا لتفادي تدقيق مضادات الفيروسات. تعيد سكربتات مخفية بناء مُسرّب المعلومات Vidar وتشغّله، فيسحب بيانات تسجيل الدخول من المتصفح وملفات تعريف الارتباط ومحافظ العملات المشفّرة. وعلى macOS، يحتوي ملف DMG على ثنائي شامل (universal binary) يفك التشفير ويشغّل AMOS، مستهدفًا بيانات المتصفح ومعلومات النظام وغير ذلك. يقوم كلا المُسرّبين بتهريب البيانات بهدوء إلى خوادم يسيطر عليها المهاجمون، تاركين الضحايا بلا أدنى شك - إلى أن تختفي أموالهم أو حساباتهم.

هذه الحملة ليست حادثة عابرة. فقد تتبع الباحثون تطورها منذ أوائل 2025، ولاحظوا استمرارها وانضباطها التشغيلي وتكيفها الدائم. يبدّل المهاجمون النطاقات، ويطلقون subreddits جديدة، ويعدّلون الحمولات للبقاء متقدمين على عمليات الإزالة. إن التعقيد التقني - مثل تكييف البرمجيات الخبيثة مع أحدث تغييرات أمان macOS - يميزها عن عمليات الاحتيال الهاوية.

التكلفة الحقيقية للبرمجيات “المجانية”

بالنسبة للمؤسسات، يتجاوز التهديد حسابات التداول الشخصية. فأي موظف يُغريه استخدام أدوات مقرصنة قد يفتح دون قصد الباب لسرقة بيانات اعتماد الشركة واختراق الشبكة. ويُحث المدافعون على حظر النطاقات المشبوهة، ومراقبة التنزيلات الكبيرة المحمية بكلمات مرور، وتثقيف المستخدمين: إذا عرض منشور على ريديت تطبيقًا مميزًا مجانًا، فهو على الأرجح فخ.

الدرس واضح: في السعي وراء أدوات مجانية، يخاطر المتداولون بخسارة ما هو أكثر بكثير من رسوم الاشتراك. في عالم الجريمة الإلكترونية، لا وجود لصفقة مجانية.

WIKICROOK

  • مُسرّب المعلومات: مُسرّب المعلومات هو برمجية خبيثة صُممت لسرقة بيانات حساسة - مثل كلمات المرور أو بطاقات الائتمان أو المستندات - من أجهزة الكمبيوتر المصابة دون علم المستخدم.
  • كلمة المرور: كلمة المرور هي كلمة أو رمز سري يُستخدم لتأكيد هويتك عبر الإنترنت وحماية حساباتك من الوصول غير المصرح به.
  • أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • Subreddit: الـsubreddit هو مجتمع على ريديت يتمحور حول موضوع محدد، حيث يشارك المستخدمون ويناقشون ويتفاعلون مع المحتوى والأسئلة ذات الصلة.
  • Null: تعني Null قيمة فارغة أو غير معرّفة في البيانات أو البرمجيات، وقد تسبب مشكلات أمنية إذا لم تُدار بشكل صحيح.
Reddit scam malware campaign TradingView Premium
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news