عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة شبكة الأشباح على يوتيوب

شبكة الأشباح على يوتيوب

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

استغلت مجموعة من حسابات يوتيوب الخبيثة شعبية المنصة لنشر برامج ضارة بين المستخدمين غير المنتبهين. بتقليد محتوى تعليمي شرعي ومحتوى برمجي مخترق، والاعتماد على مقاييس التفاعل، يحوّل هؤلاء القراصنة ما يبدو فيديوهات مفيدة إلى نواقل عدوى.

عملية متنامية وطويلة الأمد

الحملة، التي أطلق عليها باحثو الأمن الآن اسم "شبكة يوتيوب الشبحية"، نشطة منذ عام ٢٠٢١، وقد حمّلت أكثر من ٣٠٠٠ مقطع فيديو ضار. وقد ارتفع حجمها هذا العام، متضاعفًا ثلاثة أضعاف تقريبًا، مما أجبر جوجل على إزالة معظم المواد المسيئة. ورغم عمليات الإزالة، فإن حجم العملية وتصميمها المعياري يسمحان لها بالتجدد بسرعة.

كيف يعمل المخطط: الثقة كسلاح

يخترق المهاجمون القنوات الشرعية أو ينشئون قنوات جديدة، ويستبدلون أو يرفعون فيديوهات تُروّج لتطبيقات مقرصنة، أو غشّ ألعاب (لا سيما غشّ Roblox)، أو برامج مقرصنة. غالبًا ما تظهر هذه الفيديوهات كدروس تعليمية مصقولة، وتستخدم إشارات ثقة واضحة، ومشاهدات عالية، وإعجابات، وتعليقات إيجابية، لإقناع المشاهدين بأن المحتوى آمن. حصدت العديد من الفيديوهات المصابة مئات الآلاف من المشاهدات (النطاقات المُبلغ عنها: حوالي 147 ألفًا و293 ألف مشاهدة)، مما يجعل هذا الإغراء فعالًا للغاية.

بنية تحتية مرنة قائمة على الأدوار

تكمن قوة الشبكة في بنيتها القائمة على الأدوار: تُكلَّف الحسابات المُخترَقة بمهام تشغيلية محددة، ما يسمح باستمرار الحملة حتى عند حظر حسابات فردية. يُساعد هذا الهيكل على الحفاظ على الاستمرارية ويُصعِّب عملية الإصلاح.

تشمل أنواع الحسابات التي تمت ملاحظتها ما يلي:

حسابات الفيديو : قم بتحميل مقاطع فيديو مثيرة للاهتمام ووضع روابط التنزيل في الأوصاف أو التعليقات المثبتة أو المضمنة في شرح الفيديو.

حسابات النشر : نشر منشورات المجتمع أو الرسائل المرتبطة بصفحات خارجية.

حسابات التفاعل : أضف الإعجابات والتعليقات المشجعة لبناء الدليل الاجتماعي والشرعية.

سلسلة التسليم: إلى أين تقود الروابط

تُعيد الروابط القابلة للنقر في أوصاف الفيديوهات والتعليقات والمنشورات توجيه المشاهدين إلى خدمات استضافة الملفات (مثل MediaFire وDropbox وGoogle Drive) أو إلى صفحات التصيد الاحتيالي/الوصول المُستضافة على منصات مجانية (مثل Google Sites وBlogger وTelegraph). وكثيرًا ما تستخدم هذه المواقع مُختصرات عناوين URL لإخفاء الهدف النهائي، والذي غالبًا ما يرتبط بصفحات إضافية تُقدم في النهاية برامج التثبيت أو التحميل.

عائلات البرامج الضارة والمحملات التي تمت ملاحظتها

قام الباحثون بربط الشبكة بعائلات متعددة لسرقة المعلومات ومحملات ومُنزِّلات تعتمد على Node.js، مثل:

Lumma Stealer، و Rhadamanthys Stealer ، وStealC Stealer، و RedLine Stealer ، وPhemedrone Stealer، بالإضافة إلى العديد من محملات Node.js.

أمثلة ملموسة على الإساءة

تم اختراق قناة تسمى @Sound_Writer (حوالي 9690 مشتركًا) لأكثر من عام وتم استخدامها لاستضافة مقاطع فيديو مرتبطة بالعملات المشفرة والتي نشرت Rhadamanthys.

تم اختطاف القناة المسماة @Afonesio1 (حوالي 129000 مشترك) في 3 ديسمبر 2024 ومرة أخرى في 5 يناير 2025 لنشر مقطع فيديو يقدم برنامج Adobe Photoshop مخترقًا؛ وقد قدمت MSI الموزعة برنامج Hijack Loader، والذي قام بدوره بتثبيت Rhadamanthys.

لماذا تعمل شبكات الأشباح بشكل جيد

تنجح هذه الحملات لأنها تُعيد توظيف أدوات التفاعل الخاصة بالمنصة لتأكيد شرعيتها. يتيح الإعداد القائم على الأدوار استبدالًا سريعًا للحسابات وانخفاضًا في معدل فقدان المستخدمين، لذا حتى عند إزالة مالكي المنصة للمحتوى، تبقى الحملة بأكملها صامدة. تُعدّ شبكات الأشباح مثالًا واضحًا على كيفية تكيف الجهات الفاعلة المُهددة من خلال استغلال إشارات التواصل الاجتماعي العادية وميزات المنصة.

اتجاه أكبر: المنصات كقنوات توصيل

ليس يوتيوب المنصة الوحيدة التي تتعرض للإساءة، إذ لطالما استخدم المهاجمون حساباتٍ مُخترقة أو مُنشأة حديثًا لنشر محتوىً تعليميًا يُوجِّه الضحايا إلى روابط خبيثة. كما تعرضت خدمات وشبكات إعلانات شرعية أخرى (مثل محركات البحث، ومُضيفي الملفات، ومواقع استضافة الأكواد البرمجية مثل GitHub) للإساءة كجزء من سلاسل التوزيع الموزعة (على سبيل المثال، نموذج شبكة Stargazers Ghost Network ذات الصلة).

ما يجب على فرق الأمن والمستخدمين فعله

خطوات عملية للحد من المخاطر:

  • تعامل مع البرامج "المقرصنة" غير المرغوب فيها وعمليات التنزيل الغش باعتبارها ذات مخاطر عالية؛ ويفضل مواقع البائعين والمتاجر الرسمية.
  • تحقق من الروابط خارج المنصة قبل التنزيل؛ تجنب متابعة الروابط المختصرة دون التحقق من وجهتها.
  • تقوية الكشف عن عائلات البرامج الضارة ومحملات Node.js على مستوى الشبكة ونقطة النهاية؛ ومراقبة سلوك التنزيل المشبوه من مضيفات الملفات الشائعة.
  • قم بتثقيف المستخدمين بشأن عدم الثقة بإشارات الإثبات الاجتماعي (المشاهدات والإعجابات والتعليقات) عندما تصاحب عمليات تنزيل البرامج.
  • قم بإصلاح القنوات المخترقة عن طريق البحث عن التحميلات غير المعتادة وبيانات الاعتماد الدورية، وفرض مصادقة متعددة العوامل للمبدعين.

    • ملاحظة ختامية

    تُظهر شبكة يوتيوب الشبحية براعة المهاجمين المعاصرين في دمج الهندسة الاجتماعية مع آليات المنصة. ولأن العملية تستغل إشارات الثقة وبنية حساب معيارية، يتعين على المدافعين الجمع بين تثقيف المستخدم ويقظة المنصة والضوابط التقنية لتعطيل سلسلة التوريد وتقليل نطاق التهديد.

    الشائع

    تحذير: عملية احتيال تسريب موارد النظام

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    كشف باحثو الأمن السيبراني عن مخطط احتيالي يُعرف باسم "تحذير: تسريب موارد النظام"، والذي يستخدم تنبيهات نظامية زائفة لتضليل المستخدمين. وبينما تروّج الصفحة التي تقف وراء هذا المخطط لتطبيق قانوني، فإن أسلوبها القائم على التخويف خادع ومُصمم للتلاعب بالمستخدمين ودفعهم إلى التصرف بدافع الخوف. من الضروري إدراك أن هذه الرسائل الإلكترونية والمواقع الإلكترونية الاحتيالية لا تتبع أي شركات أو منظمات أو...

    الأكثر مشاهدة

    البرمجيات الخبيثة

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    33,304
    رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
    جار التحميل...