OnionPoison: أداة تثبيت متصفح Torمصابة ببرمجية خبيثة تُوزَّع عبر قناة يوتيوب شهيرة
كشف باحثو كاسبرسكي حديثاً عن حملة خبيثة مستمرة يجري توزيعها عبر قناة على “يوتيوب” لديها أكثر من 180,000 مشترك. وينشر مجرمو الإنترنت برمجية خبيثة لجمع بيانات المستخدمين الشخصية وإحكام السيطرة على أجهزتهم عن طريق وضع رابط إلى نسخة مصابة من متصفح Tor في شريط الوصف لفيديو عن الإنترنت المظلمة.
وحدّد باحثو كاسبرسكي حالات إصابة متعددة عبر أداة خبيثة لتثبيت متصفح Tor انتشرت عبر مقطع فيديو توضيحي حول شبكة الإنترنت المظلمة (Darknet) منشور على إحدى القنوات على يوتيوب. وتجاوز عدد مشاهدات الفيديو المشتمل على الرابط الخبيث 64,000 مشاهدة على هذه القناة البالغ عدد المشتركين فيها أكثر من 180,000 مشترك.
لقطة شاشة للفيديو تُظهر الرابط إلى أداة تثبيت المتصفح تور الخبيثة في قسم وصف الفيديو
وكان معظم المستخدمين المتضررين من الصين، التي تحجب موقع المتصفح Tor Browser، ما يدفع المستخدمين في هذا البلد إلى تنزيل Tor من مواقع خارجية يحرص مجرمو الإنترنت على نشر أنشطتهم الخبيثة عبرها.
وجَرت تهيئة الإصدار الذي خضع للتحليل من متصفح Tor ليكون أقلّ خصوصية من المتصفح الأصلي، فهو يُخزّن سجل التصفّح وكل البيانات التي يُدخِلها المستخدم في النماذج على الويب. كذلك يوزّع هذا الإصدار برمجية تجسس لجمع البيانات الشخصية المختلفة وإرسالها إلى خادم تابع للمهاجمين. وبخلاف العديد من المهاجمين، لا يبدو أن OnionPoison تبدي اهتماماً بجمع كلمات مرور المستخدمين أو معلومات محافظهم الرقمية، وإنما تميل إلى الاهتمام بجمع معلومات تحديد هويّات الضحايا وتعقبها، مثل سجلات التصفح ومُعرّفات حسابات الشبكات الاجتماعية وشبكات الإنترنت اللاسلكية، ما يعني انتقال الأخطار من الحياة الرقمية إلى الحياة الواقعية؛ إذ يمكن للمهاجمين جمع معلومات عن الحياة الشخصية للضحية وعائلته وعنوان منزله، عدا عن وجود حالات استخدم فيها المهاجمون المعلومات التي جرى الحصول عليها لابتزاز الضحية.
وتتيح برمجية التجسس أيضاً وظيفة تنفيذ أوامر الواجهات البرمجية على جهاز الضحية.
وأشار جورج كوتشرين خبير الأمن لدى كاسبرسكي إلى ازدياد حلول محتوى الفيديو محلّ المحتوى النصّي، مع تزايد استخدام منصات الفيديو كمحركات بحث. وقال: “يدرك مجرمو الإنترنت جيداً توجهات استهلاك محتوى الويب الحالية، فبدأوا في توزيع البرمجيات الخبيثة على منصات الفيديو الشائعة، في توجّه يُنتظر أن يبقى قائماً لبعض الوقت، ولهذا نوصي بشدة بتثبيت حل أمني موثوق به للحماية من جميع التهديدات المحتملة”.
وتوصي كاسبرسكي المستخدمين بعدم تنزيل البرمجيات من مواقع ويب خارجية مشبوهة لتقليل أخطار الوقوع ضحية لحملة خبيثة مماثلة، وإذا لم يكن استخدام مواقع الويب الرسمية خياراً مناسباً، فينبغي التحقُّق من أصالة أدوات التثبيت التي يجري تنزيلها من مصادر أخرى، من خلال فحص التوقيعات الرقمية الخاصة بها، إذ يجب أن يكون لأداة التثبيت الرسمية توقيع صالح، وأن يتطابق اسم الشركة المحدّد في شهادتها مع اسم مطور البرمجية.