كشف باحثون من Check Point عن شبكة واسعة لتوزيع البرمجيات الخبيثة عبر YouTube أطلقوا عليها اسم YouTube Ghost Network، بعد أن تمكنوا من تتبعها وإيقاف نشاطها بالتعاون مع Google. وقد نشرت الشبكة أكثر من 3 آلاف فيديو عبر قنوات مزيفة أو مخترقة، استخدمت عناوين جذابة مثل أدوات الاختراق في الألعاب أو النسخ المقرصنة من البرامج الشهيرة، لكنها كانت في الواقع توجه المستخدمين إلى روابط خبيثة أو صفحات تصيّد.
بنية الشبكة وآلية عملها
تشبه شبكة YouTube Ghost إلى حد كبير شبكة سابقة تعرف باسم Stargazers Ghost التي كانت تعتمد على حسابات GitHub مزيفة لتوزيع روابط خبيثة بطريقة منظمة. وكما في النموذج السابق، تتألف الشبكة الجديدة من 3 أنواع من الحسابات: حسابات الفيديو، وحسابات المنشورات، وحسابات التفاعل.
ترفع حسابات الفيديو محتوى يبدو مشروعاً مثل “إصدار مجاني من Adobe Photoshop” أو “أدوات غش للعبة Roblox”، وتضمن في الوصف روابط تنزيل من خدمات مثل Dropbox وGoogle Drive وMediaFire، وغالباً ما تطلب من المشاهدين تعطيل Windows Defender مؤقتاً قبل التثبيت. أما حسابات المنشورات فتنشر الروابط نفسها ضمن تبويب المجتمع، فيما تغمر حسابات التفاعل قسم التعليقات برسائل إيجابية مزيفة تعزز الثقة بالمحتوى.
وأوضح الباحثون أن هذه الآلية تعد تطوراً جديداً في تكتيكات الهجمات الرقمية، حيث ينتقل المهاجمون من التصيد عبر البريد الإلكتروني إلى استغلال المنصات الاجتماعية نفسها لتوزيع البرمجيات الخبيثة بطرق يصعب كشفها.
شبكة مرنة وصعبة الإزالة
صمم المهاجمون هذه الشبكة لتكون مرنة وقابلة للتجدد. فمعظم الحسابات المستخدمة شرعية، لكن جرى اختراقها في وقت سابق، وعند حذف أحدها أو حظره يستبدل بحساب آخر. وبفضل توزيع الأدوار بين الحسابات، تبقى الشبكة قادرة على العمل حتى عند إسقاط أجزاء منها.
وأشار تقرير Check Point إلى أن المهاجمين حدثوا الروابط والبرمجيات باستمرار للحفاظ على سلاسل الانتشار، كما استخدموا ملفات مضغوطة بكلمات مرور، واستضافات متعددة للروابط، وبنى Command-and-Control متكررة لتفادي أنظمة المراقبة والحظر.
وتبين أن معظم البرمجيات المنتشرة عبر هذه الشبكة هي أدوات سرقة بيانات infostealers، من أبرزها Lumma Stealer وRhadamanthys، والتي تستهدف متصفحات المستخدمين ومحافظ العملات الرقمية.
تضاعف النشاط وإجراءات المواجهة
أظهرت التحقيقات أن الشبكة نشطة منذ عام 2021، لكن عام 2025 شهد تضاعف عدد المقاطع الخبيثة ثلاث مرات. وبعد تنبيه Google، تم حذف أكثر من 3 آلاف فيديو وإيقاف عدد كبير من الحسابات، ما شل قدرة الشبكة على العمل مؤقتاً. ومع ذلك، يتوقع الباحثون أن الجهات المسؤولة عن هذه الحملة ستعاود نشاطها بأساليب جديدة.
ويشير الخبراء إلى أن طبيعة هذه الشبكة تعكس مرحلة جديدة من استغلال المنصات الجماهيرية كقنوات توزيع خفية للبرمجيات الخبيثة، مستفيدة من ثقة المستخدمين في الحسابات الشرعية وآليات التفاعل داخل المنصات.
