كشف باحثون في الأمن السيبراني عن شبكة خبيثة من حسابات يوتيوب تنشر وتروّج لفيديوهات تقود المستخدمين إلى تحميل برمجيات خبيثة، مستغلةً ثقة الجماهير ومنصّة الفيديو الواسعة الانتشار لنشر حمولات ضارة. تعمل الشبكة منذ 2021 ونشرت أكثر من 3,000 فيديو خبيث حتى الآن، مع تضاعف حجم المحتوى الخبيث ثلاث مرات منذ بداية العام، في عملية أطلق عليها باحثو شركة Check Point اسم YouTube Ghost Network، وقد تدخلت شركة Google لاحقًا لإزالة الجزء الأكبر من هذه المواد.
استغلال الحسابات المخترقة وإيهام الضحية بالأمان
تعتمد الحملة على اختراق حسابات شرعية أو إنشاء حسابات جديدة لاستبدال محتواها بفيديوهات تروّج لبرامج مقرصنة أو غشّ ألعاب مثل Roblox، بهدف إصابة الباحثين عن هذه المواد ببرمجيات سرقة (stealers). وقد حققت بعض الفيديوهات مشاهدات مرتفعة وصلت بين 147,000 و293,000 مشاهدة، ما ضاعف مصداقية الروابط الخبيثة عبر إشارات الثقة (عدد المشاهدات والإعجابات والتعليقات). كما يقول Eli Smadja من Check Point: “ما يبدو كدرس تعليمي مفيد قد يكون أفخاخًا إلكترونية مصقولة.”
هيكلية تشغيلية مرنة ومقسمة بالأدوار
تسعى الشبكة للحفاظ على استمراريتها التشغيلية عبر بنية دورية تتيح تعويض الحسابات المحظورة بسرعة دون تعطيل الحملة. صنّف الباحثون ثلاثة أنواع من الحسابات داخل الشبكة:
-
حسابات الفيديو: ترفع فيديوهات احتيالية تحتوي أو تصف روابط تحميل خبيثة (في الوصف أو تعليق مثبت أو ضمن عناصر الفيديو).
-
حسابات النشر: تنشر رسائل ومشاركات مجتمعية تتضمن روابط لمواقع خارجية.
-
حسابات التفاعل: تضع إعجابات وتعليقات داعمة لإضفاء غطاء من المصداقية على الفيديوهات.
الروابط تقود المستخدمين إلى خدمات استضافة ملفات أو صفحات خادعة مثل MediaFire وDropbox وGoogle Drive أو إلى صفحات تصيّد مستضافة على Google Sites وBlogger وTelegraph، وغالبًا ما تُخفي باستخدام مختصرات روابط لإخفاء الوجهة الحقيقية.
برمجيات مسروقة وتنزيلات منظمة عبر سلاسل توصيل
توزّع الشبكة عديد عائلات البرمجيات الخبيثة، من بينها Lumma Stealer، Rhadamanthys Stealer، StealC Stealer، RedLine Stealer، وPhemedrone Stealer، إلى جانب محمّلات ومشغلات مبنية على Node.js. من الأمثلة العملية:
-
قناة @Sound_Writer (9,690 مشتركًا) اختُرقت لأكثر من عام ونُشرت عبرها فيديوهات لبرمجيات متعلقة بالعملات المشفّرة تهدف إلى نشر Rhadamanthys.
-
قناة @Afonesio1 (129,000 مشتركًا) اخترِقت في 3 ديسمبر 2024 و5 يناير 2025 لتحميل فيديو يعلن عن نسخة مقرصنة من Adobe Photoshop تتضمن مُركّب MSI يُنشر عبره Hijack Loader الذي بدوره يسلّم Rhadamanthys.
تحول المنصات الشرعية إلى قنوات توزيع خبيثة
يمثل هذا النشاط جزءًا من اتجاه أوسع حيث يعيد المهاجمون توظيف منصات شرعية كقنوات فعّالة لتوزيع البرمجيات الخبيثة. استفادت بعض الحملات من شبكات إعلانية شرعية، بينما استُخدمت منصات مثل GitHub كوسيلة توصيل، كما حصل في حالة Stargazers Ghost Network. تؤكد Check Point أن تطور طرق التوزيع يعكس قدرة الجماعات الخبيثة على التكيّف والابتكار لتجاوز دفاعات الأمن التقليدية، عبر استغلال الثقة المتأصلة في الحسابات الشرعية وآليات التفاعل على المنصات الشعبية لتنفيذ حملات ضخمة ومستمرة.
