通过URL缩短器传播恶意软件的西班牙语疫苗新闻故事

通过2020年12月10日

主要亮点

  • 相对于我们的9月报告,此更新发现了CoVID-19疫苗故事的更大的西班牙语新闻网络,具有嵌入式恶意软件文件,适用于所有主要疫苗。现在,通过诸如比特的链接缩短服务,第三方已经传播了跨拉丁美洲的疫苗相关的恶意软件。
  • 牛津-阿斯利康联合疫苗可能出现不良反应的消息引发了社交媒体的热议。分享、提及和推文的数量为恶意行为者向数十万不知情的读者传播恶意软件提供了一个理想的切入点。嵌入式恶意软件可能为恶意行为者提供操纵网络流量的机会,以放大对特定疫苗功效的质疑。这些努力已经在至少五个拉丁美洲国家付诸实施,削弱了对牛津-阿斯利康、Moderna和辉瑞-生物科技疫苗的信任。
  • 对88,555条西班牙语推文的初步分析发现,俄罗斯的mundo.sputniknews.com是这些恶意软件文件的中心,自我们之前的分析以来,又检测到8个受感染的文件。与之前报告中的17次扫描相比,第二组扫描发现了更多的恶意软件实例。
  • 我们发现了链接缩短服务的证据,用于将拉丁美洲新闻网点上的故事链接重新路由到恶意软件感染的网页。链接缩短缩短了字符数,使其更轻松地单击,但它也掩盖了目标URL。7,074检测到缩短的位链接。该报告发现了一半所有随机采样的比特。Ly链接与受感染的网站相关联。

关于COVID-19疫苗试验的流行新闻报道中托管的恶意软件

2020年9月18日,FAS发布了一份报告在西班牙语Sputnik新闻链接Mundo.sputniknnews.com上找到与Covid-19疫苗开发相关的恶意软件文件网络。该报告发现53个网站感染恶意软件,这些网站在整个Twitter中传播,经过不良反应指控导致牛津 - 阿斯塔伦(AZD1222)疫苗试验暂停。

虽然我们的第一份报告收集了136,597次推文,但仅限于Astrazeneca Covid-19疫苗,这更新显示了11月18日至12月18日至12月1日的500,166推文。1个包含关键术语“Astrazeneca”,“Sputnik V”,“Moderna”。和“辉瑞”。从那总统中,分析了以西班牙语编写的88,555次推文,用于潜在的恶意软件感染。

我们的分析确定了Mundo.sputniknews.com域上的感染是持续的。发现了八个单独的文件,52个独特的扫描从初始报告中的17个扫描中检测到各种恶意软件(见图1)。

图1:带有感染的俄罗斯Sputnik Mundo网络
图1:带有感染的俄罗斯Sputnik Mundo网络

许多发表的文章包含了可能的并发症的信息或对疫苗的有效性持怀疑态度。最上面的翻译文章的标题是“使Moderna和辉瑞疫苗变得复杂的细节”(见图2)。

图2:mundo.sputniknews.com上访问量最高的页面(翻译
图2:mundo.sputniknews.com上访问量最高的页面(翻译

使用恶意软件背后的一个可能的解释是,肇事者可以识别和跟踪对Covid-19疫苗状态感兴趣的受众。从那里,对感兴趣的小组的微观靶向可能是有利地倾斜对话时对某些疫苗的谈话。这种策略适用于这些网站,这些网站已经促进了质量质疑西方的疫苗。

此外,在西班牙语Twitter生态系统中,7074缩短了bit。发现ly与COVID-19疫苗有关。缩短链接的使用是一个新的发现,也是一个令人担忧的发现。它不仅可以通过减少URL字符在Twitter上发送额外的消息,链接缩短还可以模糊URL的最终目的地。遭受恶意软件感染的本地西班牙语新闻网络在结构上与Sputnik Mundo的感染不同。不像Sputnik Mundo领域,比特。ly链接路由到拉丁美洲的新闻机构是间接的,首先连接到一个IP,将流量指向新闻报道的URL,但也包含恶意软件。这个过程有可能通过点击比特来间接传播恶意软件。微博内嵌的ly链接。

比特链接共享超过25次,我们的分析随机选择十。一半被感染,一半是干净的环节。受感染的域包括:阿根廷新闻网站(www.pagina12.com.ar),委内瑞拉东部报纸(www.correodelcaroni.com.),智利新闻出口(https://www.latercera.com.),秘鲁新闻出口(https://Elcomercio.com)和一家墨西哥新闻机构(https://www.laoctava.com)。

受感染网络内的恶意软件的类型是多元化的。我们的结果表示77个独特的恶意软件,包括基于广告软件的恶意软件,在32位和64位PC系统上访问Windows注册表项的恶意软件,APK漏洞利用,数字硬币矿工,蠕虫等。我们的分析表明恶意软件旨在监控用户设备上的个人行为。

恶意软件网络是强大的,但不能高度互联(参见图3)。

图3:五个受感染域的网络
图3:五个受感染域的网络

对这个网络中包含的恶意软件的检查显示了有趣的归因信息。而许多特定的恶意软件(例如MD5哈希:1aa1bb71c250ed857c20406fff0f802c,在智利新闻媒体上发现https://www.latercera.com.)具有中性编码标准,文件中的两个语言资源被注册为“中国传统”(见图4)。

图4:恶意软件归因信息
图4:恶意软件归因信息

由于在编码中的语言资源的操纵是常见的,因此恶意软件代码中标记的中文传统字符的存在表明恶意软件的发起者可能正在尝试混淆恶意软件检测软件。

但是,我们的分析确定了位于匈牙利的恶意软件的IP地址,而其控股组织位于阿姆斯特丹(见图5)。此IP地址也链接到undernet(https://www.undernet.org/),最大的互联网聊天域之一,有超过17,444个用户在6621个频道和已知的恶意软件来源。同样,这只是智利一家新闻媒体上的一个恶意软件,需要进一步检查。总的来说,我们的发现显示了COVID-19疫苗对话中恶意软件的网络化生产和传播。

图5:恶意IP托管在匈牙利
图5:恶意IP托管在匈牙利

恶意软件网络很大,为疫苗故事提供了一个清晰的威胁载体。疫苗恶意软件的虚假信息已经从俄罗斯的Sputnik Mundo网络扩散到阿根廷、委内瑞拉、智利、秘鲁和墨西哥的一系列其他领域。考虑到克里姆林宫已经在拉丁美洲提出了咄咄逼人的阴谋论,这一点尤其令人担忧倾斜的该地区的各国政府采用了痰液V疫苗。事实上,俄罗斯正在供应墨西哥3200万剂烟囱五。委内瑞拉阿根廷在秘鲁目前分别购买1000万和2500万次剂量谈判购买Sputnik V.

有了恶意软件策划的受众,将Sputnik V的供应与有针对性的信息配对,以支持其使用,并使西方疫苗失去合法性,将变得容易得多。

鉴于COVID-19疫苗工作可以说是任何一天最重要的新闻话题,阿斯利康COVID-19临床试验暂停导致社交媒体活动激增,标志着恶意软件虚假信息的关键切入点。然而,自9月以来,该网络已经在西班牙语推特上广泛传播,就像Sputnik V在拉丁美洲的传播一样。

随着对大流行和疫苗的报告爆炸,很难知道哪些网站是安全的,这是危险的。对于较低的互联网用户来说,这种风险是放大的,甚至可能甚至可能无法考虑恶意软件的漏洞。不幸的是,很难说从发现的恶意软件感染的人数。即使是单击错误链接的人也可能具有灾难性效果,因为恶意软件SIPHONS从信用卡号码敏感信息,以在用户屏幕上出现的机密信息。

最令人担忧的是,恶意软件技术可能会创建一个对疫苗故事感兴趣的用户库,而这些用户随后可能成为攻击目标。如果用于微靶向,图书馆将成为一个有效的受众,以更多的疫苗错误信息为目标。

方法

我们结合了社交网络分析、异常行为发现和恶意软件检测。我们通过开源恶意软件检测平台VirusTotal (www.virustotal.com)。

有关FAS DISINATION研究小组的更多信息,并查看以前的报告,ReportsReports在这里访问项目页面

类别:恶意软件