في عالم الإنترنت المتسارع، حيث يبحث المستخدمون عن حلول لتخطي القيود الرقمية، ظهرت مؤخرًا حملة إلكترونية خبيثة تستهدف صناع المحتوى على يوتيوب بطريقة ماكرة ومبتكرة.
كشفت شركة كاسبرسكي، من خلال فريق البحث والتحليل العالمي (GReAT)، عن مخطط احتيالي يعتمد على ابتزاز صناع المحتوى بدعاوى كاذبة بانتهاك حقوق النشر، لإجبارهم على نشر روابط تحمل برمجيات خبيثة لتعدين العملات المشفرة، دون علمهم بذلك.
الحيلة: ابتزاز ذكي وتهديد بحذف القنوات
تبدأ الحملة بتقديم شكوتين احتياليتين بحقوق النشر ضد صناع المحتوى، يتبعهما تهديد بتقديم إنذار ثالث سيؤدي إلى حذف قنواتهم نهائيًا من يوتيوب.
وتحت ضغط الخوف من فقدان قنواتهم التي ربما استثمروا فيها سنوات من الجهد، يقع صناع المحتوى في الفخ، حيث يتم إقناعهم بنشر روابط يُزعم أنها أدوات مشروعة لتخطي القيود الرقمية. لكن في الواقع، هذه الروابط تخفي برمجية خبيثة تُعرف باسم “SilentCryptoMiner”، والتي تستغل أجهزة المستخدمين لتعدين العملات المشفرة دون علمهم.
الضحايا: أرقام مخيفة وانتشار واسع
وفقًا لتحليلات كاسبرسكي، أصيب أكثر من 2000 مستخدم بالبرمجية الخبيثة بعد تنزيل هذه الأداة، لكن الأعداد الحقيقية قد تكون أكبر بكثير. إحدى القنوات المخترقة، التي تضم 60 ألف مشترك، نشرت مقاطع فيديو تحتوي على الروابط الخبيثة، وحققت أكثر من 400 ألف مشاهدة. أما الأرشيف المصاب المستضاف على موقع إلكتروني احتيالي، فقد سجل أكثر من 40 ألف عملية تنزيل، مما يعكس حجم الانتشار المقلق لهذه الحملة.
SilentCryptoMiner: برمجية خبيثة ماكرة
تستغل هذه البرمجية الطلب المتزايد على أدوات تخطي القيود الرقمية، خاصة تلك التي تعتمد على تقنيات مثل Windows Packet Divert.
وفقًا لبيانات كاسبرسكي، ارتفع عدد الحالات المرصودة لهذه التقنية من 280 ألف حالة في أغسطس إلى نحو 500 ألف في يناير، ليصل الإجمالي إلى أكثر من 2.4 مليون حالة خلال ستة أشهر.
البرمجية الخبيثة، التي تم تعديلها من أداة مشروعة منشورة على GitHub، تحتفظ بوظائف الأداة الأصلية لتجنب إثارة الشكوك، لكنها تثبت في الخفاء برنامج SilentCryptoMiner. هذا البرنامج يستنزف موارد الأجهزة لتعدين العملات المشفرة، مما يتسبب في بطء الأداء، ارتفاع درجة حرارة الأجهزة، وزيادة فواتير الكهرباء، دون أن يدرك المستخدمون السبب.
تكتيكات المهاجمين: مثابرة وخداع
ليونيد بيزفيرشينكو، الباحث الأمني في فريق GReAT، علق قائلاً: “هذه الحملة تكشف عن تطور مقلق في أساليب نشر البرمجيات الخبيثة. بدأت الحملة باستهداف المستخدمين الناطقين بالروسية، لكنها قد تنتشر عالميًا مع تزايد تجزئة الإنترنت.
المخطط يستغل صناع المحتوى كشركاء غير مدركين، وهو أسلوب يمكن أن ينجح في أي سوق يبحث فيه المستخدمون عن أدوات تخطي القيود.”
ومن أساليب الخداع الماكرة، أن البرمجية تحث المستخدمين على تعطيل برامج الحماية عند اكتشافها، عبر رسائل مثل: “الملف غير موجود، قم بتعطيل برامج مكافحة الفيروسات وأعد تحميل الملف، سيساعد ذلك!”، مما يعرض الأجهزة لخطر أكبر. كما يظهر المهاجمون مثابرة عالية، حيث ينشئون قنوات توزيع جديدة فور حظر القنوات السابقة.
مؤشرات الاختراق: دليل للحماية
حدد فريق GReAT مؤشرات اختراق تشمل الاتصالات بنطاقات مشبوهة مثل swapme[.]fun وcanvas[.]pet، بالإضافة إلى بصمات رقمية محددة للملفات الخبيثة. لمزيد من التفاصيل التقنية، يمكن زيارة موقع Securelist.com.
نصائح كاسبرسكي: كيف تحمي نفسك؟
لحماية نفسك من هذه التهديدات، تقدم كاسبرسكي النصائح التالية:
لا تعطل برامج الحماية أبدًا بناءً على مطالبات ملفات التثبيت، فهذا أسلوب شائع لنشر البرمجيات الخبيثة.
انتبه لعلامات الخطر مثل ارتفاع درجة حرارة الجهاز، استنزاف البطارية، أو بطء الأداء، فقد تشير إلى نشاط تعدين خفي.
استخدم حلول أمنية موثوقة مثل Kaspersky Premium، القادر على كشف برمجيات التعدين المخفية.
حافظ على التحديثات لنظام التشغيل والبرامج، لأن الإصدارات الحديثة تعالج العديد من الثغرات الأمنية.
تحقق من سمعة المطورين قبل تثبيت أي تطبيق جديد، وابحث عن مراجعات مستقلة وخلفيات مهنية.
