يستهدف المجرمون السيبرانيون صناع المحتوى البارزين على يوتيوب من خلال مطالبات كاذبة بانتهاك حقوق النشر، لإجبارهم على نشر برمجيات خبيثة لتعدين العملات المشفرة متنكرة في هيئة أدوات تجاوز القيود المفروضة على الإنترنت، وذلك لآلاف المشاهدين.

كشف فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي عن حملة خبيثة معقدة تقوم خلالها مصادر التهديد بابتزاز صناع المحتوى على يوتيوب لإجبارهم على نشر برمجيات خبيثة. حيث يقوم المهاجمون بتقديم شكوتين احتياليتين بخصوص حقوق النشر ضد صناع المحتوى، ثم يهددونهم بتوجيه إنذار ثالث - مما سيؤدي إلى حذف قنواتهم على يوتيوب. ولتفادي هذا المصير، يقوم صناع المحتوى - دون دراية منهم - بالترويج لروابط خبيثة، ظناً منهم أنها مشروعة وأنها ستساعد في الحفاظ على قنواتهم.

كشفت قراءات كاسبرسكي عن إصابة ما يزيد عن 2,000 مستخدم نهائي بالبرمجيات الخبيثة بعد تنزيل الأداة، إلا أن العدد الفعلي للمستخدمين المتضررين يُرجح أن يكون أعلى من ذلك بكثير. قامت إحدى قنوات يوتيوب المخترقة، والتي تضم 60 ألف مشترك، بنشر العديد من مقاطع الفيديو التي تحتوي على روابط خبيثة، وحققت هذه المقاطع ما يزيد عن 400 ألف مشاهدة. كما سجل الأرشيف المصاب بالبرمجيات الخبيثة، والمستضاف على موقع إلكتروني احتيالي، ما يتجاوز 40 ألف عملية تنزيل.

تستغل البرمجية الخبيثة، التي أُطلق عليها اسم SilentCryptoMiner، الطلب المتزايد على أدوات تخطي القيود المفروضة على الإنترنت. وتكشف البيانات التي رصدتها كاسبرسكي عن زيادة ملحوظة في استخدام برامج تشغيل Windows Packet Divert المشروعة - وهي تقنية شائعة الاستخدام في أدوات تجاوز القيود - حيث ارتفع عدد الحالات المرصودة من نحو 280 ألف حالة في أغسطس إلى ما يقارب 500 ألف في يناير، ليصل إجمالي الحالات المرصودة إلى أكثر من 2.4 مليون حالة خلال ستة أشهر. استهدف المهاجمون بشكل خاص المستخدمين الباحثين عن أدوات التجاوز هذه من خلال تعديل أداة مشروعة لتجاوز نظام فحص الحزم العميق (DPI) كانت منشورة في الأصل على منصة GitHub. تحتفظ النسخة الخبيثة بالوظائف الأصلية للأداة لتفادي إثارة الشكوك، إلا أنها تثبت سراً برنامج SilentCryptoMiner، الذي يستغل موارد الحوسبة لتعدين العملات المشفرة دون علم أو موافقة المستخدمين، مما يؤدي إلى تدهور ملحوظ في أداء الأجهزة وارتفاع في فواتير الكهرباء.

وفي هذا السياق، صرّح ليونيد بيزفيرشينكو، الباحث الأمني في فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي، قائلاً: «تكشف هذه الحملة عن تطور مثير للقلق في أساليب نشر البرمجيات الضارة. رغم أن الاستهداف كان في البداية موجهاً نحو المستخدمين الناطقين بالروسية، إلا أن هذا النهج قد ينتشر بسهولة ليشمل مناطق أخرى في ظل تزايد ظاهرة تجزئة الإنترنت على المستوى العالمي. ويستغل هذا المخطط صناع المحتوى الموثوقين بشكل فعال كشركاء غير مدركين، وهو نهج يمكن أن ينجح في أي سوق يسعى فيه المستخدمون للحصول على أدوات تخطي القيود المفروضة على الإنترنت.»

عندما تقوم الحلول الأمنية باكتشاف وإزالة المكونات الخبيثة، يحثّ برنامج التثبيت المعدّل المستخدمين على تعطيل برامج الحماية من الفيروسات من خلال رسائل مثل «الملف غير موجود، قم بتعطيل جميع برامج مكافحة الفيروسات وأعد تحميل الملف، سيساعد ذلك!» - مما يؤدي إلى تقويض أمن النظام بشكل أكبر.

تمكن فريق البحث والتحليل العالمي (GReAT) لدى كاسبرسكي من تحديد العديد من مؤشرات الاختراق، والتي تشمل الاتصالات بنطاقات مثل swapme[.]fun و canvas[.]pet، بالإضافة إلى بصمات رقمية محددة للملفات. ويُظهر المهاجمون مثابرة لافتة، إذ يسارعون إلى إنشاء قنوات توزيع جديدة بمجرد حظر القنوات السابقة.

للاطلاع على التحليل التقني المفصل لهذا التهديد، يمكنكم زيارة موقع Securelist.com.

ولتفادي الوقوع ضحية لمثل هذه التهديدات، تقدم كاسبرسكي التوصيات التالية:

• لا تعطّل الحلول الأمنية مطلقاً عند ظهور مطالبات بذلك من ملفات التثبيت، حيث يُعد هذا أسلوباً شائعاً لتسهيل نشر البرمجيات الخبيثة.

• انتبه إلى السلوك غير الطبيعي لجهازك، مثل الارتفاع غير المعتاد في درجة الحرارة، أو استنزاف البطارية بشكل سريع، أو تراجع الأداء، فقد تكون هذه علامات على وجود نشاط تعدين خفي.

• استخدم حل أمني موثوق مثل Kaspersky Premium الذي يمتلك القدرة على كشف البرمجيات الخبيثة المخصصة لتعدين العملات الرقمية، حتى عندما تحاول إخفاء نشاطها.

• احرص على تحديث نظام التشغيل وكافة البرامج بشكل دوري. حيث يمكن معالجة الكثير من المشكلات الأمنية من خلال تثبيت أحدث الإصدارات من البرامج.

• تحقق من سمعة المطورين قبل تثبيت أي تطبيقات جديدة، وذلك من خلال الاطلاع على المراجعات المستقلة والبحث عن خلفيتهم المهنية.