يقوم المتسللون بتوزيع البرامج الضارة عبر قنوات متعددة على يوتيوب تروج لألعاب الفيديو المقرصنة أو المقرصنة، وفقًا للباحثين في بروفبوينت Proofpoint.
في تقرير صدر يوم الأربعاء، قالت شركة الأمن السيبراني إنها تتبع حملة حيث يضع المتسللون روابط في أوصاف مقاطع الفيديو على يوتيوب بزعم نقل الضحايا إلى مواقع أخرى حيث يمكن تسليم البرامج الضارة لسرقة المعلومات مثل Vidar وStealC وLumma Stealer.
وأوضح الباحثون: "تهدف مقاطع الفيديو إلى إظهار كيفية القيام بأشياء مثل تنزيل البرامج أو ترقية ألعاب الفيديو مجانًا، ولكن الرابط الموجود في أوصاف الفيديو يؤدي إلى برامج ضارة".
تعد الحملة الأخيرة أحدث مثال على كيفية الاستفادة من منصة الفيديو الشهيرة المملوكة لشركة قوقل من قبل جهات التهديد، بما في ذلك مجموعات المجرمين الإلكترونيين وحتى العمليات المدعومة من الدولة .
في هذه الحالة، يبدو أن العديد من الحسابات "قد تم اختراقها أو تم الحصول عليها بطريقة أخرى من مستخدمين شرعيين، لكن الباحثين لاحظوا أيضًا حسابات محتملة أنشأها ممثلون وتحكم فيها والتي تكون نشطة لبضع ساعات فقط، وتم إنشاؤها حصريًا لتوصيل البرامج الضارة"، كما قال بروفبوينت. . "لقد نشر باحثون من جهات خارجية سابقًا تفاصيل حول مقاطع فيديو برمجية مزيفة تستخدم لتوصيل البرامج الضارة."
أشارت سيلينا لارسون، كبيرة محللي استخبارات التهديدات في Proofpoint، إلى أنه على الرغم من وجود مجموعة متنوعة من ألعاب الفيديو المختلفة المستخدمة كإغراءات لحث الأشخاص على النقر على عنوان URL الضار، إلا أن الكثير منها كان شائعًا لدى الشباب، بما في ذلك الأطفال.
حذرت لارسون من أن احتمال تأثير الجهات الفاعلة في مجال التهديد على تجارب الأطفال عبر الإنترنت أمر مقلق للغاية، مشيرًا إلى أنه من المحتمل أيضًا أن يكون لدى الأطفال خبرة أقل في تحديد المحتوى الضار المحتمل وأن يكون لديهم احتمالية أكبر للتفاعل معه.
وأوضحت: "من المحتمل أيضًا أن تؤثر معظم هذه التهديدات على المستهلكين الذين يستخدمون أجهزة الكمبيوتر المنزلية، وسيكون لديهم الكثير من المعلومات الشخصية والحساسة التي يمكن لممثل التهديد استخدامها بعد ذلك لتحقيق مكاسب مالية".
أبلغت Proofpoint عن أكثر من 24 حسابًا ومقطع فيديو يوزع برامج ضارة وقام YouTube بإزالتها على الفور.
أخبر يوتيوب موقع Recorded Future News أن لديه سياسات معمول بها تمنع المستخدمين من وضع محتوى في مربعات الوصف ينتهك إرشادات مجتمع النظام الأساسي. وأوضح متحدث باسم الشركة أن هذا يتضمن برامج ضارة.
وأوضح مسؤول يوتيوب أن المنصة تستخدم "مزيجًا من التعلم الآلي والمراجعة البشرية" لفرض سياساتها، وأن الأنظمة "تراقب بشكل استباقي مقاطع الفيديو والبث المباشر لاكتشاف السلوك المخادع وإزالته".
في الربع الأخير من عام 2023، أزال YouTube أكثر من 20.5 مليون قناة بسبب انتهاك إرشادات المجتمع.
"تم إنهاء الغالبية العظمى من هذه القنوات بسبب انتهاكها لسياسات البريد العشوائي لدينا. أزال موقع YouTube أكثر من 1.1 مليار تعليق في الربع الأخير من عام 2023، وكان معظمها غير مرغوب فيه. قال المتحدث: "تم اكتشاف 99+٪ من التعليقات المحذوفة تلقائيًا".
ميديا فاير وديسكورد
لاحظت Proofpoint في الغالب أن البرامج الضارة يتم توزيعها من خلال عناوين URL الخاصة بـ MediaFire التي تحتوي على ملفات ضارة، لكن الباحثين حددوا أيضًا الحالات التي يضع فيها المتسللون روابط Discord في وصف الفيديو. تحتوي قنوات Discord المرتبطة على ملفات متاحة للتنزيل تحتوي على برامج ضارة.
وقالت Proofpoint إنه في أحد الأمثلة، تم اختراق حساب يضم حوالي 113000 مشترك أو تم بيعه إلى جهة تهديد بدأت في استخدامه بشكل ضار. وكان الحساب قد نشر في السابق مقاطع فيديو باللغة التايلاندية، لكنه ظل خاملاً لمدة عام تقريبًا. وبعد هذه الفجوة الزمنية، تم نشر 12 مقطع فيديو جديدًا باللغة الإنجليزية، كل ذلك خلال 24 ساعة وكلها تتعلق بألعاب الفيديو أو اختراقات البرامج.
تم أيضًا التحقق من الحساب باستخدام علامة اختيار رمادية اللون، مما يضفي عليه مصداقية لدى المستخدمين. يحتوي كل مقطع فيديو على أوصاف تحتوي على روابط لمحتوى ضار.
وفقًا لـ Proofpoint، حصلت بعض مقاطع الفيديو على أكثر من 1000 مشاهدة، لكن الباحثين غير متأكدين مما إذا كانت أعداد المشاهدات مشروعة أم أنها مضخمة من خلال الروبوتات.
مثال آخر شاركته شركة الأمن السيبراني يتضمن مقطع فيديو يقدم للاعبين تحسينات لشخصياتهم داخل اللعبة. يوجد في الوصف رابط MediaFire ينقل الضحايا إلى ملف قام بتنزيل برنامج Vidar Stealer الضار وتثبيته.
تشهد التعليقات المتعددة على الفيديو على شرعية عرض الفيديو، وقالت Proofpoint إنها تعتقد أن الحسابات تم إنشاؤها للختم على الروابط الضارة.
وفي العديد من الأمثلة الأخرى التي وجدها الباحثون، أتاحت مقاطع الفيديو للمستخدمين إمكانية الوصول إلى Empress ، وهي شركة لاختراق ألعاب الفيديو متخصصة في اختراق برامج مكافحة القرصنة. يعرض أحد مقاطع الفيديو إصدارات "متصدعة" من لعبة League of Legends تحتوي على روابط لملفات تسمى "empress.exe". كان الملف في الواقع هو البرنامج الضار Vidar Stealer.
من الصعب أن تنسب
لم تتمكن Proofpoint من تحديد المتسللين الذين يقفون وراء الحملة ولم تتمكن من نسبتها إلى أي جهة فاعلة أو مجموعة تهديد متعقبة، مشيرة إلى أن النشاط تم تجميعه في مجموعات متعددة متميزة.
وقالوا: "إن التقنيات المستخدمة متشابهة، بما في ذلك استخدام أوصاف الفيديو لاستضافة عناوين URL التي تؤدي إلى حمولات ضارة وتوفير تعليمات حول تعطيل برامج مكافحة الفيروسات، واستخدام أحجام ملفات مماثلة مع الانتفاخ لمحاولة تجاوز الاكتشافات".
"استنادًا إلى أوجه التشابه في محتوى الفيديو، وتسليم الحمولة، وطرق الخداع، تقدر Proofpoint أن الجهات الفاعلة تستهدف باستمرار المستخدمين خارج المؤسسة."
الباحثون ليسوا متأكدين من عدد حسابات YouTube التي قد تكون معرضة للخطر.
وقال الباحثون إن المتسللين كانوا يستهدفون لاعبي ألعاب الفيديو لأنهم عادة "لا يملكون نفس الموارد أو المعرفة للدفاع عن أنفسهم من المهاجمين مقارنة بالمؤسسات".
على الرغم من أن معظم التنازلات الموضحة لن تؤدي إلى مكاسب مالية كبيرة، إلا أن لاعبي ألعاب الفيديو لديهم عادةً إمكانية الوصول إلى بعض أنواع بطاقات الائتمان أو العملات المشفرة أو غيرها من المعلومات الشخصية التي يمكن بيعها.
حذرت مجموعة تحليل التهديدات التابعة لشركة Google سابقًا من أن المتسللين كانوا يتواصلون مع مستخدمي YouTube البارزين لمراجعة المنتجات، وحثهم على تنزيل التطبيقات وتقديم مراجعات فيديو لها. تحتوي التطبيقات عادةً على برامج ضارة مرفقة تسمح لها بسرقة بيانات اعتماد تسجيل الدخول إلى YouTube والاستيلاء على الحساب.
وبالمثل، استولى المتسللون على حسابات يوتيوب للترويج لعمليات احتيال العملات المشفرة أو رسائل سياسية أخرى .
المصدر: Recorded Future News