搜索…

恶意软件在西班牙语推特上传播的疫苗新闻故事

经过2020年9月23日

主要亮点

  • 发布关于牛津-阿斯利康疫苗试验暂停的新闻网站托管了恶意文件。该网络的中心是西班牙语的Sputnik新闻链接mundo.sputniknews.com
  • 关于牛津-阿斯利康疫苗可能出现不良反应的消息在社交媒体上引起了活跃。这种疫苗是开发中最引人注目的疫苗之一,使任何有关它的重大新闻都成为社交媒体上的热门话题。因为几乎可以肯定的是,关于疫苗的网上讨论将会爆发,在有关当今最热门话题的文章中隐藏恶意软件会给不知情的读者带来显著的脆弱性。
  • 分析检测到与流行的新闻网站相关的恶意软件,涵盖牛津 - 阿斯图纳省相关故事。这次发现是通过扫描覆盖牛津 - Astrazeneca疫苗的15,820个URL来制作的。扫描结果显示有53个网站在阿斯利康的对话中存在恶意软件。在这些网站中的恶意软件的放置可以为犯罪者提供操纵额外的网络流量的机会,以便在无机放大可能对特定疫苗的功效施加疑问的故事。
  • 值得注意的是,俄罗斯国家资助的媒体Sputnik News被认为是这个网络的一个重要组成部分。
图1:每日推文数量

恶意软件在热门新闻故事中托管有关Covid-19疫苗试验的热门新闻报道


2020年9月8日,牛津大学和阿斯齐纳科于持有的Covid-19疫苗(AZD1222)开发。在第3阶段试验期间,英国的一个女人经历了不良神经系统条件,其符合罕见的脊髓炎症被称为横向髓鞘炎。与典型的大规模疫苗试验一样,妇女的病情引发了试验中的暂停,持续到9月12日,此时审判被正式恢复。在Astrazeneca不良反应事件周围的Twitter对话中进行了分析,并通过这些帖子中嵌入的链接检测了扩展恶意软件和恶意软件的社交媒体帖子。肇事者的一个可能的目标是识别对疫苗问题最感兴趣的观众,以便在未来的感兴趣的项目中微观地将该组织进行微观目标,可能会人为地倾斜对谈话或针对某些疫苗的谈话。

在图1中见过,我们的分析包括从9月2日 - 12日的136,597推文。使用关键字搜索“Astrazeneca”,“AZN”,“AZD1222”和股票符号“$ AZN”从Twitter开发人员API收集推文。从8日开始,与不良事件报告恰逢其大,推文的数量增加,9月9日确定了超过80,000名推文。

在所有收集到的tweets中,发现了15820个唯一的URL(大约11.5%的tweets包含一个URL)。大多数Twitter用户在其tweets中使用url,目的是标记或将其受众重定向到相关新闻报道,如图2所示。这个热门新闻网站Stat news的URL被1265条推特分享。

图2:典型的URL共享推文

这些推文还可以作为恶意软件传播的向量。恶意软件可以加载到与其他人共享其URL的网页上。这是一种越来越多的令人担忧的技术,对不奉献和宣传的蔓延。通过开源恶意软件检测平台Virustotal(www.virustotal.com),我们在阿斯利康的谈话中发现了53个含有恶意软件的网站。其中有四个网址是由俄罗斯政府资助的西班牙语Sputnik News (mundo.sputniknews.com)域名恶意返回的。我们破解了这些域名包含了七个不同的恶意软件包。如图3所示,这些文件包括可执行文件、android手机专用恶意软件、Microsoft Office XML和一个被评为恶意的压缩文件夹。值得注意的是,俄罗斯的Sputnik新闻网站位于恶意网络的中心。

图3:恶意软件共享网络

使用Mundo.Sputnik新闻在该网络中心(1),系列网站链接(2),由Nation(3)的连接的IP地址,以及恶意和非恶意文件(4)组。检查恶意软件文件夹的详细信息突出显示的单个文件中的21个唯一检测。如图4所示,我们检测了一系列恶意软件文件。

该恶意软件旨在访问几乎所有运行在微软Windows上的基于英特尔的硬件。它访问主机上的核心系统组件,包括kernel32.dll、shell32.dll、netmsg.dll文件,访问多个关键注册表文件,并在此过程中创建多个互斥量文件。

互斥最好在示例中理解。Web浏览器维护访问站点的历史记录。当多个浏览器窗口打开时,每个浏览器进程将尝试更新历史文件,但每次只有一个进程可以锁定和更新该文件。通过用互斥对象注册文件,不同的进程知道何时等待访问文件,直到其他进程完成更新。

分析表明,阿斯利康在西班牙语SputnikNews上的对话被用来传播恶意软件,这些恶意软件专门用于监控用户在个人设备上不知情的行为。考虑到俄罗斯疫苗工作向拉丁美洲观众和政府的宣传,这一点尤其重要。

图4:恶意软件文件内容

由于COVID-19疫苗接种工作每天都是最热门的新闻话题,疫苗接种过程的暂停几乎肯定会在社交媒体上引起巨大的关注。图1所示的每日推文数量的峰值显示了这个话题是多么受欢迎,但也显示了这个对话是多么脆弱。

在任何给定新闻报告的多个网点上报告,通常很难解析哪些网站是安全的,这是潜在的危险。对于较少的Savvy Internet用户来说,这一考虑可能甚至不能进入播放,这让他们容易受到恶意软件和病毒攻击的影响,而不是只点击错误的新闻故事。

虽然我们不知道被我们发现的恶意软件感染了多少人,但我们可以说,错误的人点击错误的链接可能具有灾难性的影响。一个特征尤其可以在用户的​​屏幕上捕获敏感信息,如地址,以信用卡号,身份证,识别或甚至是银行业或政府等行业的信用卡信息。虽然我们能够提前捕捉恶意软件,但那些没有相同的强大安全性的人将处于更陡峭的风险。

这种恶意软件技术还可以用来识别对疫苗故事感兴趣的用户,以便向他们提供未来的疫苗新闻。微目标定位允许公司定义特定的、严格的用户档案,以便为内容和广告创造受众。如果用户被放置在这些受众之中,投放广告的公司就能够为他们发送符合他们兴趣的内容。例如,如果有人被标记为对疫苗新闻感兴趣,他们就可能成为购买广告的目标接受者,这些广告旨在强调有关另一种疫苗开发的误导性、虚假或赞助新闻。由于广告通常会有机地出现在社交媒体上,有时很难区分你的朋友分享的文章和公司付费放在你面前的文章。

方法

我们进行了社交网络分析,异常行为发现和恶意软件检测的组合。我们扫描了15,820个主题通过开源恶意软件检测平台virustotal运行的特定URL(www.virustotal.com).扫描结果显示有53个网站在阿斯利康的对话中存在恶意软件。

想了解更多关于FAS虚假信息研究项目的信息,并查看之前的报告,ReportsReports在这里访问项目页面