شبكة خفية على يوتيوب تنشر برمجيات خبيثة منذ عام ٢٠٢١

اكتشف باحثو شركة Check Point شبكة ضخمة ومتخفية لتوزيع البرمجيات الخبيثة على يوتيوب أطلقوا عليها اسم «شبكة يوتيوب الأشباح». نشرت هذه الشبكة أكثر من ٣٬٠٠٠ فيديو عبر قنوات مخترقة أو مزوّرة، تستدرج المشاهدين عبر وعود ببرامج مقرصنة، خدع ألعاب، أو أدوات مقرصنة، لكنها في الواقع تُوصلهم إلى برمجيات خبيثة وصفحات تصيّد.

شبكة يوتيوب الأشباح

تُشبه شبكة يوتيوب الأشباح إلى حدّ كبير «شبكة ستارغايزرز الأشباح» التي اكتشفت سابقًا على منصة GitHub، والتي كانت تعمل كنموذج توزيع للروابط الخبيثة (Distribution-as-a-Service). في تلك الشبكة كانت الحسابات تتوزّع على أدوار مختلفة: بعضها يوجّه الضحايا إلى تنزيلات خبيثة، وآخر يخدم ملفات البرمجيات الخبيثة، وآخر يقوم بعمل نجوم (stars) ونسخ (forks) واشتراكات لمحاولة إضفاء شرعية على الحسابات الخبيثة.

بنفس المنطق، تتكوّن شبكة يوتيوب الأشباح من ثلاثة أنواع من الحسابات:

• حسابات الفيديو: هي قنوات مخترقة أو أنشأها منفّذوا الهجوم لتحميل فيديوهاتِ طُعم تعد بتوفير برمجيات مكسّرة أو خدع ألعاب شهيرة مثل Roblox. تحتوي وصفات الفيديو على روابط تنزيل أو توجيهات لأرشيفات محمية بكلمات مرور على خدمات مثل Dropbox أو Google Drive أو MediaFire، وغالبًا ما تُطالَب الضحية بتعطيل Windows Defender مؤقتًا قبل تثبيت المحتوى.

  مقالات ذات صلة

  • 
    فتح الممرّ السري للإمبراطور كومودوس في الكولوسيوم أمام الزوار لأول مرة منذ نحو ألفي عام
  • 
    كاميرا جديدة تدمج الذكاء الاصطناعي من غوغل في التصوير المباشر

• حسابات المنشورات: تنشر منشورات المجتمع (Community Posts) تحوي نفس الروابط وكلمات المرور.

• حسابات التفاعل: تغمر تعليقات الفيديو بتأييدات مزيفة، ما يخلق شعورًا زائفًا بالثقة والمصداقية.

قال الباحثون إنّ هذه الشبكات تعتمد على الثقة المضمرة في الحسابات الشرعية وآليات التفاعل في المنصات الشعبية لتنفيذ حملات برمجيات خبيثة واسعة النطاق ومستمرة. وأضافوا: «استهداف المستخدمين عبر شبكات الأشباح يشبه نشر شباك واسعة عبر الويب, المستخدم هو من يقترب ويُعرّض نفسه للإصابة».

بنية مرنة وقابلة للصمود

صُمّمت شبكة يوتيوب الأشباح لتبقى منخفضة المستوى وصامدة أمام الإزالة. معظم القنوات المستخدمة كانت قنوات يوتيوب شرعية مخترقة؛ وعندما تُحظر قناة تُستبدَل بأخرى، وبما أن الأدوار موزّعة بين حسابات مختلفة تظل العملية قادرة على الاستمرار حتى بعد إزالة أجزاء منها.

أوضح الباحثون أن المهاجمين كانوا يحدثون الروابط والبرمجيات الضارة بانتظام، ما يُمكّن سلاسل العدوى من الاستمرار حتى بعد عمليات إزالة جزئية. كما تُظهر التقنية المستخدمة في هذه الحملات درجة عالية من التعقيد عبر استخدام أرشيفات محمية بكلمة مرور ومنصات استضافة متعددة وبُنى تحكّمٍ وتوجيه (C2) تتغيّر باستمرار, كل ذلك لتجنّب الكشف الآلي ووسائل الحجب المبنية على السمعة، إضافةً إلى المراجعة اليدوية من مشغّلي المنصات ومورّدي الأمن السيبراني.

البرمجيات الخبيثة الموزعة

أغلب البرمجيات التي وُجّهت عبر هذه الشبكة هي برمجيات سرقة معلومات (infostealers)، وعلى رأسها Lumma Stealer وRhadamanthys، وهما برمجيتان تهدفان إلى استخراج بيانات حسّاسة مثل بيانات تسجيل الدخول في المتصفحات، ومفاتيح المحافظ الرقمية، وغيرها من المعلومات الشخصية.

نطاق وتطور الحملة

تبيّن أن الشبكة نشطة منذ عام ٢٠٢١ على الأقل، وأن عدد الفيديوهات الخبيثة ازداد بشكل كبير في عام ٢٠٢٥ حيث تضاعف عددها ثلاث مرات. بعد أن أبلغ باحثو Check Point عن النتائج، أزالت شركة جوجل أكثر من ٣٬٠٠٠ فيديو خبيث، ما أدّى إلى إضعاف عمل الشبكة، إلا أن الباحثين يحذّرون من أن القائمين على هذه العمليات من غير المرجّح أن يتخلوا عنها بسهولة.

وتشير نتائج التحقيق إلى أن الجهات الخبيثة تتجه بشكل متزايد إلى استغلال المنصات الشرعية وتنسيق حسابات ذات أدوار متعدّدة لبناء شبكات توزيع برمجيات خبيثة مرنة وفعّالة. على المستخدمين توخّي الحذر الشديد — تجنّب تنزيل برمجيات مقرصنة أو اتباع تعليمات تعطيل برامج الحماية، والاعتماد دائمًا على المصادر الرسمية لتنزيل البرامج والتحديثات. كما يُنصح بمراجعة إعدادات الأمان المثبتة على الحواسب، وتحديث أنظمة التشغيل وبرامج الحماية دوريًا.