كاسبرسكي تكشف عن ابتزاز المجرمين السيبرانيين لصناع المحتوى على يوتيوب لنشر برمجيات خبيثة

يستهدف المجرمون السيبرانيون صناع المحتوى البارزين على يوتيوب من خلال مطالبات كاذبة بانتهاك حقوق النشر، لإجبارهم على نشر برمجيات خبيثة لتعدين العملات المشفرة متنكرة في هيئة أدوات تجاوز القيود المفروضة على الإنترنت، وذلك لآلاف المشاهدين.

كشف فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي عن حملة خبيثة معقدة تقوم خلالها مصادر التهديد بابتزاز صناع المحتوى على يوتيوب لإجبارهم على نشر برمجيات خبيثة. حيث يقوم المهاجمون بتقديم شكوتين احتياليتين بخصوص حقوق النشر ضد صناع المحتوى، ثم يهددونهم بتوجيه إنذار ثالث – مما سيؤدي إلى حذف قنواتهم على يوتيوب. ولتفادي هذا المصير، يقوم صناع المحتوى – دون دراية منهم – بالترويج لروابط خبيثة، ظناً منهم أنها مشروعة وأنها ستساعد في الحفاظ على قنواتهم.

كشفت قراءات كاسبرسكي عن إصابة ما يزيد عن 2,000 مستخدم نهائي بالبرمجيات الخبيثة بعد تنزيل الأداة، إلا أن العدد الفعلي للمستخدمين المتضررين يُرجح أن يكون أعلى من ذلك بكثير. قامت إحدى قنوات يوتيوب المخترقة، والتي تضم 60 ألف مشترك، بنشر العديد من مقاطع الفيديو التي تحتوي على روابط خبيثة، وحققت هذه المقاطع ما يزيد عن 400 ألف مشاهدة. كما سجل الأرشيف المصاب بالبرمجيات الخبيثة، والمستضاف على موقع إلكتروني احتيالي، ما يتجاوز 40 ألف عملية تنزيل.

تستغل البرمجية الخبيثة، التي أُطلق عليها اسم SilentCryptoMiner، الطلب المتزايد على أدوات تخطي القيود المفروضة على الإنترنت. وتكشف البيانات التي رصدتها كاسبرسكي عن زيادة ملحوظة في استخدام برامج تشغيل Windows Packet Divert المشروعة – وهي تقنية شائعة الاستخدام في أدوات تجاوز القيود – حيث ارتفع عدد الحالات المرصودة من نحو 280 ألف حالة في أغسطس إلى ما يقارب 500 ألف في يناير، ليصل إجمالي الحالات المرصودة إلى أكثر من 2.4 مليون حالة خلال ستة أشهر. استهدف المهاجمون بشكل خاص المستخدمين الباحثين عن أدوات التجاوز هذه من خلال تعديل أداة مشروعة لتجاوز نظام فحص الحزم العميق (DPI) كانت منشورة في الأصل على منصة GitHub. تحتفظ النسخة الخبيثة بالوظائف الأصلية للأداة لتفادي إثارة الشكوك، إلا أنها تثبت سراً برنامج SilentCryptoMiner، الذي يستغل موارد الحوسبة لتعدين العملات المشفرة دون علم أو موافقة المستخدمين، مما يؤدي إلى تدهور ملحوظ في أداء الأجهزة وارتفاع في فواتير الكهرباء.

وفي هذا السياق، صرّح ليونيد بيزفيرشينكو، الباحث الأمني في فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي، قائلاً: «تكشف هذه الحملة عن تطور مثير للقلق في أساليب نشر البرمجيات الضارة. رغم أن الاستهداف كان في البداية موجهاً نحو المستخدمين الناطقين بالروسية، إلا أن هذا النهج قد ينتشر بسهولة ليشمل مناطق أخرى في ظل تزايد ظاهرة تجزئة الإنترنت على المستوى العالمي. ويستغل هذا المخطط صناع المحتوى الموثوقين بشكل فعال كشركاء غير مدركين، وهو نهج يمكن أن ينجح في أي سوق يسعى فيه المستخدمون للحصول على أدوات تخطي القيود المفروضة على الإنترنت.»

عندما تقوم الحلول الأمنية باكتشاف وإزالة المكونات الخبيثة، يحثّ برنامج التثبيت المعدّل المستخدمين على تعطيل برامج الحماية من الفيروسات من خلال رسائل مثل «الملف غير موجود، قم بتعطيل جميع برامج مكافحة الفيروسات وأعد تحميل الملف، سيساعد ذلك!» – مما يؤدي إلى تقويض أمن النظام بشكل أكبر.

تمكن فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي من تحديد العديد من مؤشرات الاختراق، والتي تشمل الاتصالات بنطاقات مثل swapme[.]fun و canvas[.]pet، بالإضافة إلى بصمات رقمية محددة للملفات. ويُظهر المهاجمون مثابرة لافتة، إذ يسارعون إلى إنشاء قنوات توزيع جديدة بمجرد حظر القنوات السابقة.