استخبارات الخصم

يقوم ممثلو التهديد بإساءة استخدام مقاطع فيديو Youtube التي تم إنشاؤها بواسطة الذكاء الاصطناعي لنشر البرامج الضارة

منذ نوفمبر 2022، كانت هناك زيادة بنسبة 200-300٪ شهريًا في مقاطع فيديو Youtube التي تحتوي على روابط لبرامج ضارة تسرق مثل Vidar و RedLine و Raccoon في أوصافها. تجذب مقاطع الفيديو المستخدمين من خلال التظاهر بأنها برامج تعليمية حول كيفية تنزيل إصدارات متصدعة من البرامج مثل Photoshop و Premiere Pro و Autodesk 3ds Max و AutoCAD وغيرها من المنتجات المرخصة المتاحة فقط للمستخدمين المدفوعين.

March 13, 2023

دقيقة

جدول المحتوى

مثال H2

المؤلفون: بافان كارثيك م، ديبانجلي بولراج

ارتفاع عدد الجهات الفاعلة في مجال التهديد باستخدام مقاطع فيديو Youtube التي تم إنشاؤها بواسطة الذكاء الاصطناعي

منذ نوفمبر 2022 كان هناك 200-300% زيادة شهرية في مقاطع فيديو Youtube التي تحتوي على روابط لبرامج ضارة تسرق مثل Vidar، خط أحمر، و راكون في أوصافها. تجذب مقاطع الفيديو المستخدمين من خلال التظاهر بأنها برامج تعليمية حول كيفية تنزيل إصدارات متصدعة من البرامج مثل Photoshop و Premiere Pro و Autodesk 3ds Max و AutoCAD وغيرها من المنتجات المرخصة المتاحة فقط للمستخدمين المدفوعين.

‍

عادةً ما تستخدم مقاطع الفيديو تسجيل الشاشة أو الإرشادات الصوتية لخطوات تنزيل البرنامج وتثبيته. ومع ذلك، حدثت مؤخرًا زيادة في استخدام مقاطع الفيديو التي تم إنشاؤها بواسطة الذكاء الاصطناعي من منصات مثل Synthesia و D-ID، والتي يتم استخدامها في مقاطع الفيديو. من المعروف أن مقاطع الفيديو التي تعرض البشر، خاصة أولئك الذين لديهم ملامح وجه معينة، تبدو مألوفة وجديرة بالثقة. وبالتالي، كان هناك اتجاه حديث لمقاطع الفيديو التي تعرض شخصيات تم إنشاؤها بواسطة الذكاء الاصطناعي، عبر اللغات والمنصات (Twitter و Youtube و Instagram)، والتي توفر تفاصيل التوظيف والتدريب التعليمي والمواد الترويجية وما إلى ذلك، وقد تبنت الجهات الفاعلة في مجال التهديد الآن هذا التكتيك أيضًا.

*فيديو تم إنشاؤه بواسطة الذكاء الاصطناعي من studio.d-id.com*

‍

النظام البيئي المزدهر لسرقة المعلومات

Infostealers عبارة عن برامج ضارة مصممة لسرقة المعلومات الحساسة من أجهزة الكمبيوتر. يمكنهم سرقة كلمات المرور ومعلومات بطاقة الائتمان وأرقام الحسابات المصرفية والبيانات السرية الأخرى. عادة ما يتم نشرها من خلال تنزيلات البرامج الضارة ومواقع الويب المزيفة ودروس Youtube التعليمية. بمجرد التثبيت على النظام، يقومون بسرقة المعلومات من الكمبيوتر وتحميلها إلى خادم الأوامر والتحكم الخاص بالمهاجم.

‍

عادةً ما يقوم سارقو المعلومات بجمع معلومات الضحية:

بيانات المتصفح، بما في ذلك كلمات المرور وملفات تعريف الارتباط وبيانات الإضافة والتعبئة التلقائية وتفاصيل بطاقة الائتمان وما إلى ذلك.
بيانات المحفظة المشفرة وبيانات الاعتماد
بيانات وبيانات اعتماد تيليجرام
ملفات مثل .txt والمستندات وأوراق Excel وعروض PowerPoint التقديمية وما إلى ذلك باستخدام أداة File Grabber.
معلومات النظام مثل عنوان IP ومسار البرامج الضارة (Redline و Vidar فقط) والمنطقة الزمنية والموقع ومواصفات النظام وما إلى ذلك.

*تنظيم النظام البيئي لسرقة المعلومات (المصدر sekoia.com)*

‍

مطورو سرقة المعلومات

يتحمل المطورون مسؤولية تطوير وتحديث كود البرامج الضارة للتأكد من أن أنظمة مكافحة الفيروسات وأنظمة الكشف عن نقاط النهاية الأخرى لا تكتشف السارق عند تنزيله على جهاز كمبيوتر. كما أنها تعمل على توسيع نطاق السارق عن طريق إضافة متصفحات ومحافظ وتطبيقات أخرى جديدة يمكن للبرامج الضارة سرقة المعلومات منها. حتى عندما يتم تحديث EDRs بـ IOCs الجديدة لاكتشاف البرامج الضارة، يستمر المطورون في ترقية البرامج الضارة بشكل متكرر لتجنب الاكتشاف. وبالتالي، فإن EDRs و IOCs صالحة فقط لفترة قصيرة من الزمن.

‍

تقرير ذو صلة: يستهدف سارق المعلومات محافظ العملات المشفرة عبر تحديث Windows 11 المزيف

‍

المتاجرون

يقوم مطورو سرقة المعلومات بالتجنيد/الشراكة مع الجهات الفاعلة الأخرى في مجال التهديد، والمعروفة باسم المتاجرين، من أجل:

حدد الضحايا من خلال سجلات السارق وبيانات الاعتماد المخترقة وما إلى ذلك، من الأسواق السرية وقنوات Telegram ومن المتاجرين الآخرين.
انشر السارق عبر مواقع الويب المزيفة ورسائل البريد الإلكتروني المخادعة ودروس Youtube التعليمية ومنشورات الوسائط الاجتماعية وما إلى ذلك.
استخدم تحسين محركات البحث (SEO) لضمان رؤية مصادر العدوى بسهولة وإتاحتها للضحايا المحتملين.
قم بجمع وتنظيم وبيع المعلومات التي تم تسريبها في المنتديات السرية وقنوات Telegram والمجموعات الأخرى التي تنشر البرامج الضارة السارقة.

يتم تجنيد المتاجرين عبر المنشورات والإعلانات عبر مختلف المنتديات السرية:

*مشاركة المنتدى في تجنيد المتجرين. تدعي أن لديها لوحة YT لسلسلة عدوى 911، وأدوات آلية لتوليد حركة المرور*

‍

يوتيوب كقناة توزيع البرامج الضارة

مع أكثر من 2.5 مليار مستخدم نشط شهريًا، يعد Youtube منصة شائعة ومتعددة الاستخدامات. من الترفيه والمراجعات إلى الوصفات والمواد التعليمية، يتم استخدام Youtube من قبل مجموعة واسعة من المستخدمين عبر الفئات السكانية.

‍

في حين أن Youtube هي طريقة سهلة للوصول إلى ملايين المستخدمين، فإن لوائح المنصة وعملية المراجعة تجعل من الصعب على الجهات الفاعلة في مجال التهديد امتلاك حسابات نشطة طويلة الأجل على المنصة. بمجرد تأثر عدد قليل من المستخدمين، عادةً ما يتم حذف الفيديو وحظر الحساب. ومن ثم تبحث الجهات الفاعلة في مجال التهديد دائمًا عن طرق جديدة للتحايل على خوارزمية المنصة وعملية المراجعة.

‍

منذ نوفمبر 2022، لاحظت CloudSek زيادة بنسبة 2 إلى 3 مرات شهريًا في عدد مقاطع الفيديو التي تنشر برامج ضارة تسرق.

‍

الاستحواذ على الحساب

تستخدم الجهات الفاعلة في مجال التهديد تسريبات البيانات السابقة وتقنيات التصيد الاحتيالي وسجلات السرقة للاستيلاء على حسابات Youtube الحالية. وهي تستهدف المستخدمين المتعلمين والنشطين (مع عدد كبير من المشتركين والتحميلات) والمستخدمين الأقل تعليماً.

‍

كانت هناك العديد من التقارير والشكاوى المتعلقة بعمليات الاستحواذ على حساب Youtube. يقوم ممثلو التهديد على الفور بتحميل 5-6 مقاطع فيديو إلى الحساب.

‍

الاستحواذ على الحسابات الشائعة

تستهدف الجهات الفاعلة في مجال التهديد الحسابات الشائعة التي تضم أكثر من 100 ألف مشترك، في محاولة للوصول إلى جمهور كبير في فترة زمنية قصيرة. عادةً ما يتم إخطار المشتركين في الحسابات الشائعة بالتحميل الجديد. يؤدي التحميل إلى هذه الحسابات إلى إضفاء شرعية الفيديو أيضًا. ومع ذلك، سيقوم مستخدمو YouTube هؤلاء بإبلاغ صاحب الحساب الخاص بهم إلى Youtube والوصول مرة أخرى إلى حساباتهم في غضون ساعات قليلة. ولكن في غضون ساعات قليلة، كان من الممكن أن يقع مئات المستخدمين فريسة.

*أحد مستخدمي YouTube المشهورين الذي امتلأ حسابه بمقاطع فيديو تنزيل الكراك*

‍

الاستحواذ على الحسابات الأقل شهرة

قد لا يلاحظ المستخدمون العامون، الذين لا يقومون بتحميل مقاطع الفيديو بشكل منتظم، أن حساباتهم قد تم الاستيلاء عليها لفترة طويلة من الزمن. وحتى إذا فقدوا الوصول إلى حساباتهم، فقد لا يكون لديهم الحافز للإبلاغ عن ذلك. كما هو موضح في المثال أدناه، تتوفر مقاطع الفيديو الضارة حتى بعد 3 أشهر. على الرغم من الوصول المحدود لهذه الحسابات، فإن الجهات الفاعلة في مجال التهديد تستهدفها لأن مقاطع الفيديو التي يتم تحميلها عليها تظل متاحة لفترة طويلة من الزمن.

*حساب YouTube غير شائع مليء بمقاطع فيديو تنزيل الكراك*

‍

تحميلات الفيديو الآلية والمتكررة

لقد لاحظنا أنه يتم تحميل 5-10 مقاطع فيديو لتنزيل برامج الكراك كل ساعة، تحتوي على روابط ضارة، على Youtube. تعوض هذه الإضافة المتكررة لمقاطع الفيديو مقاطع الفيديو التي تم حذفها أو إزالتها وتضمن أنه في أي وقت، إذا بحث المستخدم عن برنامج تعليمي حول كيفية تنزيل برنامج متصدع، فستكون مقاطع الفيديو الضارة هذه متاحة.

‍

تحسين محركات البحث باستخدام العلامات الخاصة بالمنطقة

تضيف الجهات الفاعلة في مجال التهديد قائمة شاملة من العلامات التي ستخدع خوارزمية Youtube للتوصية بالفيديو والتأكد من ظهوره كواحد من أفضل النتائج. بينما تتضمن العلامات كلمات رئيسية ذات صلة بالبرنامج، فإنها تتضمن أيضًا كلمات رئيسية عشوائية بلغات مختلفة.

*مثال على العلامات المستخدمة في YouTube لأغراض تحسين محركات البحث*

‍

في المثال أدناه، تتضمن العلامات كلمات رئيسية ذات صلة بـ القنوات التلفزيونية الهندية والباكستانية والبرامج التلفزيونية والعبارات باللغات المحلية.

‍

روابط غامضة

عادةً ما يتم تضمين الرابط الضار لتنزيل الملف المليء بالبرامج الضارة في وصف الفيديو. ومع ذلك، لا تبدو هذه الروابط مشبوهة لأن الجهات الفاعلة في مجال التهديد تستخدم:

أدوات تقصير عناوين URL مثل bit.ly وcutt.ly
روابط لمنصات استضافة الملفات مثل mediafire.com
الروابط التي تقوم بتنزيل ملف zip الضار مباشرةً

يتم سرد مواقع الويب الشائعة المستخدمة في سلسلة العدوى في الرسم البياني أدناه.

‍

استخدام التعليقات المزيفة لإضفاء الشرعية على مقاطع الفيديو

تضيف الجهات الفاعلة في مجال التهديد العديد من التعليقات التي تدعي أن البرنامج المتصدع يعمل لصالحهم. هذا يضفي على مقاطع الفيديو جوًا من الشرعية ويضلل المستخدمين للاعتقاد بأن التنزيل الضار شرعي. كما هو موضح في الأمثلة أدناه، تحتوي العديد من مقاطع الفيديو على تعليقات متطابقة في غضون ساعة من نشرها، مما يشير إلى أن الجهات الفاعلة في مجال التهديد قامت بأتمتة عملية إضافة تعليقات مزيفة إلى مقاطع الفيديو.

‍

مقاطع فيديو تم إنشاؤها بواسطة الذكاء الاصطناعي

من المعروف أن مقاطع الفيديو التي تعرض البشر، خاصة تلك الميزات الوجهية المعينة، تبدو مألوفة وجديرة بالثقة. وبالتالي، كان هناك اتجاه حديث لمقاطع الفيديو التي تعرض شخصيات تم إنشاؤها بواسطة الذكاء الاصطناعي، عبر اللغات والمنصات (Twitter و Youtube و Instagram)، والتي توفر تفاصيل التوظيف والتدريب التعليمي والمواد الترويجية وما إلى ذلك، وقد تبنت الجهات الفاعلة في مجال التهديد الآن هذا التكتيك أيضًا.

كما هو موضح في المثال أدناه، تم تحميل فيديو تنزيل الكراك من Hogwarts الذي تم إنشاؤه باستخدام d-id.com إلى قناة Youtube تضم 184 ألف مشترك. وفي غضون بضع دقائق من تحميله، حصل الفيديو على 9 إعجابات وأكثر من 120 مشاهدة.

‍

الطريق إلى الأمام

قيود القواعد المستندة إلى السلسلة

ستثبت القواعد المستندة إلى السلسلة أنها غير فعالة ضد البرامج الضارة التي تنشئ السلاسل ديناميكيًا و/أو تستخدم السلاسل المشفرة. تختلف طرق التشفير والترميز من عينة إلى أخرى (على سبيل المثال - الإصدارات الجديدة من فيدار، راكون، إلخ). بالإضافة إلى ذلك، لن يتمكنوا من اكتشاف عائلة البرامج الضارة إلا عندما يتم تفكيك العينة، والتي لا يتم استخدامها تقريبًا في البرمجيات الخبيثة حملة.

‍

مراقبة التهديدات التكيفية في الوقت الفعلي

لمواجهة التهديدات المتغيرة باستمرار، تحتاج المنظمات إلى اعتماد المراقبة التكيفية للتهديدات. لا يمكن القيام بذلك إلا من خلال مراقبة التكتيكات والتقنيات والإجراءات المتغيرة للجهات الفاعلة في مجال التهديد عن كثب. من المهم أيضًا إجراء حملات توعية وتزويد المستخدمين بتحديد التهديدات المحتملة.

‍

بصرف النظر عن ذلك، يوصى بأن يقوم المستخدمون بتمكين المصادقة متعددة العوامل والامتناع عن النقر على الروابط ورسائل البريد الإلكتروني غير المعروفة. بالإضافة إلى ذلك، تجنب تنزيل البرامج المقرصنة أو استخدامها لأن المخاطر تفوق الفوائد بشكل كبير.

‍