احتيال تحميل ChatGPT وSora المزيف 2026: فخّ إعلان Google الذي يفرّغ محافظ العملات الرقمية

يوم الثلاثاء الذي فرّغت فيه محفظة MetaMask الخاصة بإيريك بسبب مثبّت Sora

إيريك في الرابعة والثلاثين، مدير تسويق في شركة SaaS متوسطة الحجم في أوستن، وكان ينتظر Sora 2 كما ينتظر طفل تتمة فيلم محبّب. شاهد صباحاً منشوراً على X يتحدث عن توفّر Sora 2، فتح علامة تبويب جديدة في MacBook Pro، وكتب خمس كلمات. «تحميل Sora 2 للماك».

النتيجة الأولى إعلان مرعيّ في القمة. أيقونة الموقع المفضّلة هي شعار OpenAI الحلزوني. اسم الموقع مكتوب «OpenAI Sora 2». ورابط URL تحته، بتلك الحروف الرمادية التي لا يقرؤها أحد فعلاً، يقول sora-app-download.com. نصّ الإعلان نظيف. «Sora 2 للماك. ولّد فيديو بجودة سينمائية من النص. متاح الآن». ينقر إيريك.

يحمَّل الموقع في أقل من ثانية. شعار OpenAI أعلى اليسار. بكرة فيديو Sora تجري في شريط بطل الصفحة. زرّ أسود كبير «التنزيل للماك» مرسوم عليه شعار Apple. ينقر إيريك. يبدأ تنزيل ملف DMG بحجم 240 ميغابايت. وبينما ينتظر يقرأ الصفحة. هناك شارة أمان مزيفة من «Norton Verified». وأداة مراجعات مزيفة تُظهر 4.8 نجمة من 12,400 مستخدم. ومذكّرة «الجديد في Sora 2» مكتوبة تماماً كأنها منشور إصدار من OpenAI. كل التفاصيل دقيقة كأنها صفحة حقيقية.

ينزل الـ DMG. يفتحه إيريك. وفي الداخل ما يبدو كنمط المثبّت الكلاسيكي لنظام Mac. أيقونة Sora.app على اليسار، اختصار مجلد Applications على اليمين، وسهم بينهما. يسحب Sora.app إلى Applications. يُطلَق المثبّت تلقائياً. نافذة نظيفة تظهر بشعار OpenAI وشريط تقدّم. «جارٍ التحقق من التثبيت مع خوادم OpenAI». يمتلئ الشريط في خمس ثوانٍ. «جارٍ تهيئة محرك توليد الفيديو». خمس ثوانٍ أخرى. «جاهز تقريباً».

ثم يفتح التطبيق. يبدو تماماً كموقع sora.com. الواجهة الداكنة المعتادة، صندوق التوجيه أسفل الشاشة، فيديوهات أمثلة في المعرض. يكتب إيريك توجيهاً. «لقطة درون سينمائية لجرف ساحلي عند الغروب». يضغط على «توليد». يدور المؤشر نحو عشر ثوانٍ، ثم تظهر نافذة. «سجّل الدخول إلى حساب OpenAI لتوليد الفيديو». ينقر «تسجيل الدخول». الصفحة التي تُحمَّل هي صفحة chat.openai.com الحقيقية. يدخل بياناته. لا تعمل. يحاول مرة أخرى. لا تعمل. يستسلم، يغلق التطبيق، يهمهم بأن Sora 2 مليء بالعلل في يوم الإطلاق، ويعود إلى العمل.

ذلك التطبيق المرئي لم يكن سوى إطار iframe لموقع sora.com الحقيقي ما كان ليستطيع تسجيل الدخول إليه أبداً. أما العمل الفعلي فقد جرى في الخلفية أثناء عرض شريط التقدّم اللطيف.

لمدة ثلاثة أيام، لا يحدث شيء.

ما حدث فعلاً في تلك الثواني الأربع التي عُرضت فيها رسالة «جارٍ التحقق مع OpenAI» هو الآتي. ملف Mach-O ثنائي اسمه Updater استخرج نفسه إلى ~/Library/Application Support/SoraHelper/. ملف LaunchAgent ثبّت نفسه في ~/Library/LaunchAgents/ ليعمل الملف الثنائي عند كل تسجيل دخول. مسح الملف الثنائي ‏Keychain بحثاً عن مدخلات تحتوي «wallet» و«seed» و«metamask» و«trust» و«coinbase» و«kraken» و«ledger» و«trezor» و«ronin» و«phantom» ونحو ستين سلسلة أخرى مرتبطة بالعملات الرقمية. أفرغ كوكيز Chrome من ~/Library/Application Support/Google/Chrome/Default/Cookies. أفرغ كوكيز Brave. أفرغ كوكيز Edge. أفرغ Login Items الخاصة بـ Safari. وأرسل كل ذلك إلى خادم تحكّم وسيطرة في طلب HTTPS POST واحد، ثم خلد إلى الصمت.

في اليوم الثالث، عند الساعة 4:12 صباحاً بتوقيت الوسط الأمريكي، استقبل Gmail الخاص بإيريك رسالة إعادة تعيين كلمة سر لم يطلبها. جاءت محاولة الدخول من عنوان IP ألماني. حجبها Gmail لأنه طلب رمز التحقق الثنائي الذي لم يدخله إيريك. وبعد أربعين دقيقة، استقبل حساب Coinbase طلب سحب غير مصرّح به بقيمة 4,800 دولار من ETH إلى عنوان لم يره إيريك قط. احتجزت Coinbase العملية لمراجعة مدّتها 48 ساعة لأن الوجهة جديدة. وعند الساعة 4:51 صباحاً، فُرّغت محفظة MetaMask تماماً. ثلاثة NFTs ومبلغ 2,300 دولار من USDC كان يحتفظ به للغاز جُرفت في معاملة واحدة.

استيقظ إيريك في السادسة وربع، نظر إلى هاتفه، وحدّق في بريد Coinbase نحو دقيقة قبل أن يفهم ما يقرأ. لم يربط MetaMask بشيء منذ أسبوعين. لم يوقّع أي معاملة. لم ينقر على أي رابط. لا تتطابق معه أي قصة تصيّد كلاسيكية.

تفريغ MetaMask حدث لأن عبارة الاسترداد كانت في Keychain، وKeychain هو ما كنسه مثبّت Sora عصر الثلاثاء.

لماذا صارت تحميلات أدوات الذكاء الاصطناعي المزيفة المتجه الأول للوصول الأولي

ثلاثة أمور جعلت هذا الهجوم القصة الرئيسة في أواخر 2024 وطوال 2025. أولاً، كل إطلاق منتج جديد من OpenAI وAnthropic وGoogle يخلق موجة بحث بملايين الاستعلامات عن «التحميل» قبل توفّر المنتج، وقبل أن يشرحه الصحفيون، وقبل أن يؤكد أحد ما إن كان ثمة تطبيق سطح مكتب أصلاً. Sora alpha وSora 2 وGPT-5 وClaude 3.5 Sonnet وClaude 3.7 وGemini 2.0 وGemini 2.5 وMidjourney v6 وv7. كل إطلاق نافذة حصاد جديدة من ستة إلى ثمانية أسابيع يمكن لإعلانات الاحتيال أن تنافس فيها شركات الذكاء الاصطناعي الشرعية التي لا تشتري هذه الكلمات المفتاحية أحياناً.

ثانياً، برامج سرقة المعلومات تُباع الآن كخدمة. RedLine وLummaC2 وAsyncRAT على Windows، وAMOS (Atomic macOS Stealer) وBanshee على macOS. مشغّلو البرامج الخبيثة كخدمة يبيعون الوصول مقابل بضع مئات من الدولارات شهرياً، يسلّمون العميل أداة تصنيع، ويتركونه يلفّ الحمولة بأي ثيمة رائجة في تلك اللحظة. مثبّت Sora الذي شغّله إيريك هو نفسه بناء LummaC2 الذي كانت عصابة أخرى توزّعه قبل أربعة أشهر بصيغة مثبّت Cursor IDE مزيف.

ثالثاً، شكل الحمولة بات مُحسَّناً ليبدو مثل أي مثبّت Mac DMG أو Windows شرعي فتحته في حياتك. تخطيط Apple الكلاسيكي للسحب إلى Applications. أشرطة تقدّم تبدو حقيقية. عبارات «جارٍ التحقق مع المُورّد» مكتوبة بأسلوب احترافي. بعض الحملات تأتي بشهادات توقيع برمجي صالحة اشتُريت من جهات مصدّقة رخيصة أو سُرقت من مفاتيح توقيع مخترقة، حتى لا يظهر تحذير Gatekeeper في macOS أصلاً. القفزة في الشرعية البصرية لهذه المثبّتات بين 2024 و2025 ملحوظة مقارنةً بأي شيء كان موجوداً في 2023.

الاقتصاد قاسٍ. العصابة التي تشغّل الإعلان تدفع نحو 3 إلى 6 دولارات لكل نقرة. تفريغ ناجح واحد لمحفظة عملات رقمية بين كل ثلاثمئة تثبيت قد يعيد بين 4,000 و40,000 دولار حسب الضحية. الحسابات تتفوّق على أي مخطّط تصيّد آخر تقريباً عرفه التاريخ.

منظومة برامج سرقة المعلومات خلف المثبّت المزيف

«مثبّت Sora» أو «ChatGPT للماك» الذي حمّلته ينتمي إلى مجموعة محدودة من عائلات البرامج الخبيثة المعروفة. وقد وثّقت شركات الأمن كلاً منها بعمق في 2024 و2025. ليس الاسم هو ما يهمّ، بل الفئة.

• RedLine Stealer (Windows). نشط منذ 2020. يكنس كلمات السر في المتصفح والكوكيز والإكمال التلقائي وبيانات FTP ورموز Discord ورموز Steam وجلسات Telegram وبيانات إضافات محافظ العملات الرقمية (MetaMask وPhantom وTrust وRonin وExodus وAtomic). يُباع بنحو 150 دولاراً شهرياً في المنتديات السرية. وقد وثّقت SentinelOne حملات في 2024 لُفّت فيها RedLine مثبّتات أدوات ذكاء اصطناعي مزيفة، ووُزّعت عبر إعلانات Google المدفوعة.
• LummaC2 (Windows، وله نسخ Mac كذلك). صعد إلى الصدارة خلال 2024. رتّبته كل من Cisco Talos وSentinelOne ضمن أكثر ثلاث عائلات سرقة معلومات نشاطاً في العام. يستهدف بيانات المتصفح، ومحافظ العملات الرقمية، ونسخ احتياطية للتحقق الثنائي، وأضاف مؤخراً القدرة على إفراغ ملفات Microsoft Outlook. غلاف «مثبّت ذكاء اصطناعي مزيف» هو من أبرز ثلاث طرق توزيع له في بيانات 2024 و2025.
• AsyncRAT (Windows). تروجان وصول عن بُعد مفتوح المصدر يمنح المشغّل تحكّماً كاملاً بلوحة المفاتيح والفأرة وشاشة الجهاز المخترَق. غالباً ما يُدمج مع برنامج سرقة للمسح الأولي، فيما يبقى AsyncRAT مقيماً للوصول المستمر. وقد رصدت Cisco Talos في 2024 حملات عديدة استهدفت مستخدمي «أدوات إنتاجية بالذكاء الاصطناعي».
• NetSupport RAT (Windows). أداة دعم عن بُعد شرعية في الأصل، أُسيء استخدامها لسنوات كبوابة خلفية. حملات 2024 التي وثّقتها eSentire وMandiant استخدمت صفحات هبوط مزيفة باسم «تكامل ChatGPT» لإسقاط NetSupport. والنافذة المرئية بعد التثبيت تعرض غالباً إطار ChatGPT حقيقياً حتى لا يشكّ الضحية في شيء.
• AMOS / Atomic Stealer (macOS). عائلة سرقة معلومات الماك المهيمنة في 2024 و2025. وثّقت Mandiant وMalwarebytes Labs نمواً حاداً لنشاط AMOS طوال العام، مع مثبّتات DMG مزيفة بثيمات ChatGPT وSora وNotion AI وLoom AI وFigma AI بوصفها قناة التوصيل الرئيسة. يستهدف AMOS بيانات المتصفح، ومدخلات Keychain، وبيانات إضافات وتطبيقات محافظ العملات الرقمية، وApple Notes. وهو على الأرجح ما عمل على جهاز إيريك.
• Banshee Stealer (macOS). برنامج سرقة ماك أحدث ظهر خلال 2024. تكلفته أقل من AMOS، فتفضّله العصابات الأصغر. مجموعة الأهداف نفسها: Keychain، وكوكيز المتصفح، وتطبيقات محافظ العملات. وثّقته Elastic Security Labs في أواخر 2024.

صنّف تقرير ESET للنصف الثاني من 2024 برامج سرقة المعلومات ضمن أسرع فئات البرمجيات الخبيثة نمواً في العام، مع الإشارة إلى التوزيع عبر روابط مدفوعة كأسلوب وصول رئيسي على كل من Windows وMac. وأشار التقرير تحديداً إلى مثبّت أدوات الذكاء الاصطناعي المزيف باعتباره الثيمة المميزة للنصف الثاني من 2024.

نموذج التوزيع الحقيقي: كيف تطرح OpenAI وAnthropic وGoogle وMidjourney فعلاً

هذا أهم قسم منفرد في الدليل. احفظه. السبب الذي يجعل مثبّتات أدوات الذكاء الاصطناعي المزيفة تنجح هو أن أغلب المستخدمين لا يعرفون كيف يُوزَّع المنتج الحقيقي.

ChatGPT وSora من OpenAI. داخل المتصفح فقط افتراضياً. تصل إلى ChatGPT عبر chatgpt.com وإلى Sora عبر sora.com، بعد تسجيل الدخول بحساب OpenAI. تطرح OpenAI تطبيق ChatGPT الرسمي لسطح مكتب macOS وWindows، لكن رابط التحميل موجود فقط على chatgpt.com نفسه (ابحث عن الرابط الصغير «Download for Mac» / «Download for Windows» في تذييل OpenAI أو لوحة الإعدادات)، والمثبّت يحمل توقيع OpenAI L.L.C. ويُدرج Mac App Store تطبيق ChatGPT الرسمي تحت اسم المطوّر OpenAI L.L.C. لا يوجد «تطبيق Sora» منفصل. Sora يعمل في المتصفح فقط عبر sora.com.

Claude من Anthropic. داخل المتصفح فقط على claude.ai. تطرح Anthropic تطبيق Claude الرسمي لسطح مكتب macOS وWindows، ورابط التحميل موجود على claude.ai نفسه، ويحمل توقيع Anthropic PBC. ويُدرجه Mac App Store تحت Anthropic PBC. لا يوجد «مثبّت Claude» من أي مطوّر آخر.

Gemini من Google. داخل المتصفح فقط على gemini.google.com. متاح أيضاً داخل تطبيقات Google Workspace وداخل تطبيق Google على iOS وAndroid. لا يوجد مثبّت سطح مكتب منفصل لـ Gemini على Mac أو Windows. كل من يطلب منك «تحميل Gemini للماك» يبيعك شيئاً آخر.

Midjourney. داخل المتصفح فقط على midjourney.com (تطبيق الويب الجديد) وعبر بوت Midjourney على Discord. لا يوجد مثبّت Midjourney لـ Mac أو Windows. توليد الصور يجري بالكامل على خوادم Midjourney، ويُعرَض على متصفحك.

Microsoft Copilot. الويب على copilot.microsoft.com. تكامل أصلي داخل Windows 11 وتطبيقات 365. تطبيق Copilot المستقل لـ Windows لا يأتي إلا من Microsoft Store. لا يوجد «مثبّت Copilot» من جهة خارجية.

لاحظ النمط. كل منتج ذكاء اصطناعي في هذه القائمة يبدأ من المتصفح. تطبيقات سطح المكتب الشرعية القليلة تأتي حصراً من نطاق المورّد نفسه أو من Microsoft Store أو Mac App Store. لا يوجد سيناريو ينبغي فيه أن تحمّل مثبّت أداة ذكاء اصطناعي من موقع وصلت إليه عبر إعلان Google مرعيّ.

العلامات الحمراء قبل النقر على أي رابط «تحميل أداة ذكاء اصطناعي»

إن أظهرت الصفحة التي توشك على التحميل منها أي إشارتين من هذه الإشارات، فأغلق علامة التبويب. القائمة كلها لتوضيح النمط، لا قائمة حجب شاملة.

• الرابط يحوي شُرَطاً أو كلمات إضافية. sora-app-download.com، chatgpt-for-mac.com، claude-ai-download.net، gemini-installer.co، midjourney-app.shop. النطاقات الحقيقية هي sora.com وchatgpt.com وclaude.ai وgemini.google.com وmidjourney.com. الشُرَط واللواحق أرخص دلائل الخداع.
• امتداد النطاق خطأ. .help و.shop و.co و.net و.download و.app على ما يُفترض أنه نطاق .com لعلامة كبرى. OpenAI الحقيقية لا تستخدم .help أبداً. وAnthropic الحقيقية لا تستخدم .shop.
• الموقع يعرض تحميلاً لأداة لا تملك أصلاً مثبّتاً حقيقياً. Sora وMidjourney وGemini لا تملك أي مثبّت Mac أو Windows. أي موقع يعرض لك مثبّتاً لهذه الأدوات مزيف بطبيعة الحال.
• الموقع يعرض شارة أمان مزيفة. Norton Verified، McAfee Secure، تقييم TrustPilot 4.8 نجمة. هذه الشارات صور لا تحقّقات فعلية، وشارات Norton وMcAfee الحقيقية تنقلك إلى صفحة تحقق. انقر أي شارة مزيفة فلن تأخذك إلى مكان.
• الصفحة تطلب منك تعطيل Gatekeeper أو SmartScreen. «لتثبيت Sora، قد تحتاج إلى نقرة يمنى ثم اختيار فتح، ثم النقر على فتح على أي حال في التحذير». مثبّت OpenAI الحقيقي موقَّع ومُوثَّق بالكامل. لا يحتاج إلى هذه الرقصة.
• المثبّت DMG أو EXE مع مكوّنات إضافية «مساعد» أو «محدّث». التطبيقات الحقيقية تثبّت تطبيقاً واحداً. المثبّتات المزيفة تُسقط Updater وHelper وService binary، وأحياناً LaunchAgent أو LaunchDaemon. افتح Activity Monitor (Mac) أو Task Manager (Windows) فور التثبيت. إن رأيت عملية تعمل باسم لم تثبّته، فأنت مخترَق.
• التطبيق المرئي لا يفعل شيئاً، أو يحمّل الموقع الحقيقي فقط في نافذة. مثبّت Sora الذي شغّله إيريك لفّ موقع sora.com الحقيقي داخل إطار Electron. تسجيل الدخول لم يعمل لأنه لا يوجد تكامل. هذا أكثر نمط شيوعاً في حملات مثبّتات الذكاء الاصطناعي المزيفة بين 2024 و2025.

الروابط الحقيقية لكل أداة، بلا استثناء

ضع إشارة مرجعية على هذه الروابط مرّة، ولا تمرّ على بحث Google من أجلها مرّةً أخرى. شريط عنوان المتصفح هو نقطة الدخول الأكثر أماناً لأي أداة ذكاء اصطناعي.

• ChatGPT: chatgpt.com (وأيضاً chat.openai.com)
• Sora: sora.com
• Claude: claude.ai
• Gemini: gemini.google.com
• Midjourney: midjourney.com
• Microsoft Copilot: copilot.microsoft.com
• Perplexity: perplexity.ai
• Grok (X): grok.com أو الوصول داخل x.com
• لوحة حساب OpenAI: platform.openai.com
• Anthropic Console: console.anthropic.com

تطبيقات سطح المكتب الوحيدة الموجودة لأي من هذه هي: تطبيق ChatGPT الرسمي (من chatgpt.com أو Mac App Store)، وتطبيق Claude الرسمي (من claude.ai أو Mac App Store)، وتطبيق Microsoft Copilot (من Microsoft Store). كل ما عداها علامة تبويب في المتصفح. لا يوجد مثبّت Sora. لا يوجد مثبّت Gemini. لا يوجد مثبّت Midjourney. لا يوجد مثبّت Perplexity لـ Mac أو Windows حُمِّل من إعلان Google.

ماذا تقول تقارير 2024 و2025 فعلاً

هذه ليست حالة فردية. أحدث بيانات الجهات الرسمية تكشف نمو حملات مثبّتات الذكاء الاصطناعي المزيفة خلال 2024 وحتى 2025.

• تقرير سلامة إعلانات Google 2024 (صدر في أبريل 2025): حجبت Google أو أزالت 5.5 مليار إعلان بسبب انتهاكات السياسة في 2024، وعلّقت أكثر من 39 مليون حساب معلِن، قفزة حادة عن أرقام 2023. وذُكر تحديداً انتهاك العلامات التجارية والمحتوى المُضلل وتوزيع البرامج الخبيثة بوصفها أكبر فئات نمو التطبيق في العام. وأشار التقرير إلى تشديد التطبيق ضد الروابط المرعيّة المنتحلة لعلامات برمجية كبرى.
• تقرير ESET للتهديدات H2 2024: صُنّفت برامج سرقة المعلومات بين أسرع فئات البرمجيات الخبيثة نمواً في النصف الثاني من العام. وأشار التقرير إلى AMOS لـ macOS بوصفه عائلة سرقة المعلومات المهيمنة على الماك، بنموّ ربع سنوي خلال 2024 يقوده توزيع مثبّتات أدوات الذكاء الاصطناعي المزيفة.
• SentinelOne Labs 2024: نشرت تحليلات معمّقة عدة لحملات LummaC2 وRedLine طوال العام، من بينها حملات لفّت كلا البرنامجين بصيغة مثبّتات ChatGPT وMidjourney مزيفة، ووُزّعت عبر إعلانات Google المدفوعة.
• Cisco Talos 2024: وثّقت حملات عديدة وُزّع فيها AsyncRAT وNetSupport وLummaC2 عبر صفحات هبوط مزيفة لـ«أدوات إنتاجية بالذكاء الاصطناعي»، بثيمات مثبّتات Claude وNotion AI وChatGPT مزيفة.
• Malwarebytes Labs 2024: مقالات متعددة طوال العام توثّق حملات تحميل ChatGPT وMidjourney المزيفة. ووصف فريق Labs توزيع البرمجيات الخبيثة عبر الروابط المرعيّة بأنه من أكثر أنماط التهديد ثباتاً في العام.
• Bitdefender Labs 2024: غطّت كتابات الربع الرابع تحديداً حملات مثبّت Sora المزيف التي ظهرت بعد أسابيع من إعلانات إطلاق OpenAI لـ Sora، وكانت توزَّع عبر إعلانات بحث Google المدفوعة.
• Mandiant 2024: نشرت أبحاثاً عن نمو حملات سرقة معلومات الماك، مع توثيق AMOS باعتباره أبرز عائلة العام. وأُشير إلى غلاف مثبّت أداة الذكاء الاصطناعي المزيف بوصفه أسلوب توصيل رئيسياً.
• تقرير FBI لجرائم الإنترنت 2024 (IC3، أبريل 2025): بلغت الخسائر المُبلَّغ عنها 16.6 مليار دولار عبر كل الجرائم المُدمجة بالإنترنت، بزيادة 33 بالمئة عن 2023. ووحدها الخسائر المرتبطة بالعملات الرقمية بلغت 9.3 مليارات دولار. وكان التصيد واختراق الأجهزة الشخصية بالبرامج الخبيثة من أبرز متجهات الوصول الأولي.

رقم واحد يستحق التذكّر: 9.3 مليارات دولار من الخسائر المرتبطة بالعملات الرقمية مُبلَّغة لـ FBI خلال 2024 وحدها. شريحة معتبرة منها بدأت بمثبّت برنامج مزيف حُمِّل من إعلان Google مرعيّ.

ماذا تفعل إن كنت قد شغّلت مثبّت ذكاء اصطناعي مزيفاً

إن بدا أي شيء في قصة إيريك مألوفاً، تحرّك بسرعة. التفريغ يحدث بعد أيام من التثبيت، لا دقائق. لديك نافذة. استثمرها. والترتيب يهمّ.

• عامل الجهاز كمخترَق. توقّف عن تسجيل الدخول إلى أي شيء حساس من ذلك الجهاز. لا مصرفية، ولا منصات عملات رقمية، ولا بريد إلكتروني، ولا حسابات عمل. انتقل إلى جهاز ثانٍ نظيف (هاتف، حاسوب الشريك، تابلت) لتنفيذ خطوات التعافي أدناه.
• بدّل عبارة استرداد كل محفظة فوراً. إن كانت عبارة الاسترداد محفوظة يوماً في Keychain أو مدير كلمات سر أو ملف نصي أو لقطة شاشة أو أي موقع يصل إليه المتصفح، فعاملها كمخترَقة. أنشئ محفظة جديدة على جهاز نظيف أو محفظة عتاد (Ledger أو Trezor)، وانقل كل عملة إلى العنوان الجديد قبل أن يفرّغها المهاجم. راجع دليلنا حول ماذا تفعل إن سُرقت عبارة استرداد محفظتك الرقمية للخطوات تفصيلاً.
• أعد ضبط كل كلمة سر من الجهاز النظيف. ابدأ بالبريد (Gmail وOutlook وiCloud)، ثم منصات العملات الرقمية (Coinbase وKraken وBinance)، ثم البنوك، ثم وسائل التواصل (X وFacebook وLinkedIn)، ثم كل شيء آخر. سجّل الخروج من كل الجلسات في كل حساب. وأعد تسجيل التحقق الثنائي على تطبيق Authenticator جديد، لا على الذي في الجهاز المخترَق.
• ألغِ الجلسات والرموز النشطة. معظم المنصات الكبرى لديها صفحة «تسجيل الخروج من كل الأجهزة» أو «الجلسات النشطة». استخدمها على كل حساب. خاصةً Google وApple وMicrosoft وDiscord وTelegram وأي منصة عملات رقمية.
• شغّل فحص برمجيات خبيثة كاملاً من الجهاز النظيف. على الماك: Malwarebytes for Mac وBlockBlock وKnockKnock وأدوات Objective-See المجانية تستطيع إظهار LaunchAgent أو LaunchDaemon الذي أسقطه برنامج السرقة. على Windows: Malwarebytes Premium مع فحص Windows Defender الكامل. للتنظيف الحاسم، الخيار الآمن الوحيد هو إعادة تثبيت نظام التشغيل بالكامل بعد نسخ احتياطي للبيانات فقط (لا التطبيقات).
• افحص قواعد إعادة توجيه البريد. غالباً ما تضيف برامج السرقة قاعدة إعادة توجيه مخفية في Gmail أو Outlook حتى يرى المهاجم رسائل إعادة تعيين كلمة السر مستقبلاً. اذهب إلى إعدادات Gmail، إعادة التوجيه وPOP/IMAP، وتأكّد من عدم وجود أي عنوان إعادة توجيه. والشيء نفسه في Outlook.
• قدّم البلاغات. FTC على reportfraud.ftc.gov. مركز شكاوى جرائم الإنترنت في FBI على ic3.gov. إن جرت عملية سحب من منصة عملات رقمية، أبلغ فريق مكافحة الاحتيال في تلك المنصة واطلب تتبّع المعاملة. بعض المنصات قادرة على تجميد الأموال إن أُبلغت خلال دقائق.

كيف تُبلّغ عن إعلان Google المزيف

إن رأيت الإعلان المزيف قبل الوقوع في الفخ أو بعده، أبلغ عنه. كل بلاغ يقصّر النافذة على الضحية التالية.

• انقر قائمة النقاط الثلاث على الإعلان في نتائج بحث Google. اختر «الإبلاغ عن هذا الإعلان» ثم «مضلِّل» أو «يبدو غير آمن». يصل مباشرة إلى فريق سلامة الإعلانات في Google.
• أرسل الرابط إلى Google Safe Browsing عبر safebrowsing.google.com/safebrowsing/report_phish/. يُضيف الرابط إلى قائمة الحجب العالمية التي تستخدمها Chrome وFirefox وSafari.
• أبلغ FTC على reportfraud.ftc.gov.
• قدّم شكوى لدى FBI IC3 على ic3.gov. مهم خاصةً إن خُسر مال.
• أرسل إلى APWG (مجموعة العمل لمكافحة التصيد) على reportphishing@apwg.org.
• إن كان الموقع المزيف ينتحل OpenAI أو Anthropic أو Google أو Microsoft، قدّم بلاغ إساءة استخدام للعلامة مباشرة. OpenAI: trust@openai.com. Anthropic: security@anthropic.com. Google: g.co/abuse. Microsoft: cert.microsoft.com.

آخر تحديث 2026-05-30

كيف يصدّ SafeBrowz هذا التهديد

يعتمد SafeBrowz على بنية كشف ثلاثية الطبقات: محلي + واجهات + ذكاء اصطناعي.

• الطبقة الأولى، الكشف المحلي: أكثر من 60 نمطاً لعناوين URL وأكثر من 550 توقيعاً مرتبطاً بعلامات تجارية محددة، تعمل مباشرةً داخل متصفحك. هذه الطبقة تلتقط sora-app-download.com وchatgpt-for-mac.com وclaude-ai-download.net وغيرها من متغيرات تبديل الشُرَط وامتداد النطاق لحظة النقر، قبل أن يبدأ تحميل ملف DMG أو EXE أصلاً. OpenAI وAnthropic وGoogle وMicrosoft وMidjourney جميعها في قاعدة العلامات التجارية، مع مطابقة لاحقات الشُرَط ولوازم النطاق المغلوط مع النطاقات الحقيقية chatgpt.com وsora.com وclaude.ai وgemini.google.com وcopilot.microsoft.com وmidjourney.com.
• الطبقة الثانية، فحوصات الواجهات: Google Safe Browsing وPhishTank وURLhaus تتقاطع على جانب الخادم. تكشف النطاقات الخبيثة المعروفة لحظة الإبلاغ عنها في أي مكان من العالم، بما في ذلك النطاقات الشبيهة العابرة التي تُحرَق وتُستبدل كل بضع ساعات في موجة إطلاق ذكاء اصطناعي جديدة.
• الطبقة الثالثة، الفحص العميق بالذكاء الاصطناعي (Premium): تحليل محتوى يكشف صفحات شبيهة جديدة لم ترها أي قائمة حجب بعد. صفحة هبوط Sora المزيفة التي ظهرت قبل ساعتين، ونسخة chatgpt-installer.shop الجديدة التي لم يُبلَّغ عنها في أي مكان، وmidjourney-app-download.co الطازج. يعمل بأكثر من 100 لغة.

توقيعات الكشف مشتقّة من أبحاث استخبارات التهديدات وقاعدة العلامات التجارية الداخلية لدينا، لا من بيانات تصفح المستخدمين. SafeBrowz لا يُخزِّن سجلات تصفح للمستخدمين.

الأسئلة الشائعة

هل يوجد تطبيق ChatGPT حقيقي للماك أو لويندوز؟

نعم، لكن بمسار واحد فقط. تطرح OpenAI تطبيق ChatGPT الرسمي لسطح مكتب macOS وWindows. رابط التحميل يعيش على chatgpt.com نفسه، ويُدرج Mac App Store التطبيق ذاته تحت اسم المطوّر OpenAI L.L.C. المثبّت يحمل توقيع OpenAI L.L.C. أي تحميل آخر لـ«ChatGPT للماك» أو «مثبّت ChatGPT» من أي موقع آخر مزيف. لا يوجد تطبيق Sora منفصل، ولا مثبّت GPT-5 منفصل، ولا «تحميل ChatGPT Pro». كلها متغيرات إعلانات احتيالية.

هل يوجد تطبيق Sora أستطيع تحميله؟

لا. Sora يعمل في متصفحك فقط على sora.com، بعد تسجيل الدخول بحساب OpenAI. لا يوجد تطبيق سطح مكتب لـ Sora على Mac أو Windows أو Linux. أي موقع يعرض «تحميل Sora» أو «Sora للماك» مزيف بطبيعة الحال. إن كنت قد شغّلت أحد هذه المثبّتات، عامل جهازك كمخترَق واتبع خطوات التعافي في هذا الدليل.

هل يوجد تطبيق Claude للماك أو لويندوز؟

نعم. تطرح Anthropic تطبيق Claude الرسمي لسطح مكتب macOS وWindows. رابط التحميل موجود على claude.ai نفسه، ويُدرجه Mac App Store تحت Anthropic PBC. أي «مثبّت Claude» من أي نطاق آخر مزيف. الشيء نفسه ينطبق على إعلانات «تحميل Claude 3.5 Sonnet» أو «تحميل Claude 3.7». هذه المنتجات تعمل فقط في المتصفح أو في تطبيق سطح المكتب الرسمي من claude.ai.

ما RedLine Stealer وكيف يصل إلى جهازك؟

RedLine برنامج سرقة معلومات لويندوز يُباع كخدمة في المنتديات السرية منذ 2020. يكنس كلمات السر المحفوظة وكوكيز المتصفح وبيانات الإكمال التلقائي وبيانات إضافات محافظ العملات الرقمية ورموز Discord وSteam وبيانات FTP ولقطات الشاشة. وعادةً ما يصل ملفوفاً داخل مثبّت برنامج مزيف (ألعاب مكسورة، أدوات ذكاء اصطناعي مزيفة، تطبيقات إنتاجية مزيفة) موزَّع عبر إعلانات Google المدفوعة أو روابط تعليقات YouTube أو مواقع تحميل خبيثة. نشرت SentinelOne وCisco Talos تحليلات في 2024 تُظهر RedLine بوصفه إحدى أكثر عائلات سرقة المعلومات توزيعاً في العام.

ما AMOS Stealer ولماذا يهمّ مستخدمي الماك؟

AMOS، المعروف أيضاً بـ Atomic macOS Stealer، هو عائلة سرقة معلومات الماك المهيمنة في 2024 و2025. وثّقته Mandiant وMalwarebytes Labs وغيرها، ويستهدف macOS Keychain (حيث يخزّن كثير من المستخدمين عبارات استرداد محافظ العملات الرقمية وكلمات سر المنصات ومفاتيح SSH)، وكوكيز المتصفح، وكلمات السر المحفوظة، وتطبيقات وإضافات محافظ العملات. ويُوزَّع أساساً عبر مثبّتات DMG مزيفة بثيمات ChatGPT وSora وNotion AI وLoom AI وFigma AI وأدوات إنتاجية مماثلة. هو على الأرجح ما عمل في قصتنا.

إن ظننت أنني شغّلت مثبّت ذكاء اصطناعي مزيفاً، ما أهم خطوة أولى؟

انتقل إلى جهاز ثانٍ نظيف فوراً، وبدّل عبارة استرداد كل محفظة عملات رقمية من هناك. محافظ MetaMask وPhantom وTrust وغيرها من محافظ إضافات المتصفح هي الهدف الأعلى قيمة. أنشئ محفظة جديدة على جهاز نظيف، أو الأفضل على محفظة عتاد (Ledger أو Trezor)، وانقل كل عملة إلى العنوان الجديد قبل أن يفرّغها المهاجم. بعد تبديل عبارة الاسترداد، اعمل على إعادة ضبط كلمات السر وإلغاء الجلسات وفحص شامل للبرمجيات الخبيثة. الساعة الأولى تهمّ. بعد 24 ساعة، تنخفض احتمالات الاسترداد بحدّة.