قراصنة يبتزون صناع المحتوى على يوتيوب لنشر برمجيات تعدين خبيثة

أصبح صناع المحتوى على يوتيوب هدفًا جديدًا للمجرمين الإلكترونيين، الذين يبتزونهم لإدراج روابط خبيثة تؤدي إلى تنزيل برمجيات تعدين العملات الرقمية. ووفقًا لتقارير شركة كاسبرسكي للأمن السيبراني، تعتمد هذه الهجمات على استغلال برامج Windows Packet Divert، التي تُستخدم للتحايل على القيود الجغرافية.

أساليب الهجوم واستغلال شعبية البرامج

أظهرت بيانات كاسبرسكي أن أكثر من 2.4 مليون جهاز تأثرت ببرامج Windows Packet Divert خلال الأشهر الستة الماضية، مع زيادة مطردة في عدد التنزيلات شهريًا. نتيجة لذلك، ازدادت مقاطع الفيديو التعليمية على يوتيوب التي تشرح كيفية تثبيت هذه البرامج، مما أتاح للمهاجمين فرصة لنشر روابط خبيثة ضمن أوصاف هذه الفيديوهات.

تكتيكات الابتزاز عبر حقوق النشر

يلجأ المهاجمون إلى تقديم بلاغات كاذبة بانتهاك حقوق النشر ضد منشئي المحتوى، ثم يتواصلون معهم مدعين أنهم المطورون الأصليون للبرامج التي يتحدث عنها الفيديو. بهذه الطريقة، يقنعون بعض اليوتيوبرز بإدراج روابط ضارة. على سبيل المثال، استُهدف أحد صناع المحتوى، الذي يمتلك 60 ألف مشترك، مما أدى إلى تضمين روابط خبيثة في مقاطع فيديو حققت أكثر من 400 ألف مشاهدة.

بدلًا من توجيه المستخدمين إلى مصادر موثوقة مثل GitHub، يتم إحالتهم إلى أرشيفات مصابة، تم تنزيلها أكثر من 40 ألف مرة. وتُقدر كاسبرسكي أن هذه الحملة وحدها قد أدت إلى إصابة ما لا يقل عن 2000 جهاز كمبيوتر في روسيا، مع احتمال أن يكون العدد الفعلي أكبر بسبب انتشار الهجمات عبر منصات أخرى مثل تيليجرام.

استغلال الثقة بين صناع المحتوى والجمهور

وفقًا للباحث الأمني في كاسبرسكي، ليونيد بيزفرشينكو، تُعد هذه الأساليب تطورًا جديدًا في الجريمة الإلكترونية. حيث يستغل المهاجمون العلاقة المبنية على الثقة بين اليوتيوبرز وجمهورهم. في السابق، كانت برمجيات التعدين الخبيثة تنتشر عبر الروابط المباشرة، أما الآن، فيتم استغلال صناع المحتوى لنشرها دون علمهم، مما يعزز فرص انتشارها بسرعة كبيرة.

طريقة عمل البرمجية الخبيثة SilentCryptoMiner

تعتمد البرمجية الخبيثة SilentCryptoMiner على الكود المفتوح المصدر XMRig، والذي يُستخدم لتعدين عملات رقمية مثل إيثريوم، إيثريوم كلاسيك، مونيرو، ورافينكوين. تستخدم هذه البرمجية تقنية عملية التجويف (Process Hollowing)، مما يمكنها من التسلل إلى إجراءات النظام دون أن يتم اكتشافها بسهولة. كما تمنح هذه التقنية المهاجمين القدرة على التحكم بها عن بُعد، مما يسمح لهم بإيقاف عملية التعدين مؤقتًا عند اكتشاف نشاط المستخدم الأصلي على الجهاز.

انتشار البرمجيات الخبيثة عبر المصادر المفتوحة

شهدت برمجيات التعدين الخبيثة انتشارًا واسعًا في الآونة الأخيرة. ووفقًا لمركز الأمن السيبراني للإنترنت، كانت CoinMiner ثاني أكثر البرمجيات الضارة انتشارًا في عام 2024، بعد SocGholish. كما كشفت أبحاث ReversingLabs أن المهاجمين بدأوا في إدراج برمجيات تعدين العملات الرقمية داخل حزم تطويرية مفتوحة المصدر، مما يجعل اكتشافها أكثر صعوبة، خاصة وأن العديد من هذه الحزم يتم تنزيلها مئات الآلاف من المرات أسبوعيًا.

كيف يمكن تجنب هذه الهجمات؟

لتجنب الوقوع ضحية لهذه الهجمات، يُنصح المستخدمون باتباع هذه الإرشادات:

• التحقق من مصدر أي رابط قبل تنزيل أي ملف.
• عدم تعطيل برامج مكافحة الفيروسات عند تحميل برامج غير معروفة.
• توخي الحذر عند مشاهدة مقاطع الفيديو التي تطلب تنفيذ خطوات أمنية غير مألوفة.
• تجنب تحميل الملفات من مواقع غير رسمية أو مشبوهة.

خلاصة

تعكس هذه الهجمات تطور أساليب الجرائم الإلكترونية، حيث باتت منصات التواصل الاجتماعي وسيلة رئيسية لاستهداف الضحايا. ومع استمرار تطور أساليب الاحتيال، يصبح من الضروري تعزيز الوعي الأمني، والتحقق من مصادر الملفات، واستخدام برامج الحماية الإلكترونية، لتجنب الوقوع في شراك هذه الهجمات الاحتيالية.