搜索。。。

通过西班牙语Twitter传播恶意软件的疫苗新闻故事

通过2020年9月23日

重点

  • 新闻网站发布了牛津-阿斯利康疫苗试验暂停的故事,其中包含恶意软件文件。该网络的中心是西班牙语的Sputnik新闻链接mundo.sputniknews.com.
  • 牛津阿斯利康疫苗可能出现不良反应的消息导致社交媒体活动激增。该疫苗是开发中最引人注目的疫苗之一,因此任何有关它的重大新闻都成为社交媒体的热门话题。因为几乎可以保证有关疫苗的讨论会在网上爆发,所以在有关当天最热门话题的文章中隐藏恶意软件会给不知情的读者带来巨大的漏洞。
  • 分析发现了与报道牛津-阿斯利康相关报道的热门新闻网站相关的恶意软件。这一发现是通过扫描牛津-阿斯利康疫苗的15820个url得出的。扫描结果显示,在阿斯利康的谈话中,有53个网站存在恶意软件。恶意软件在这些网站上的放置可能为作恶者提供机会,操纵更多的网络流量给不知情的用户,以非有机地放大可能对特定疫苗的功效产生怀疑的故事。
  • 值得注意的是,俄罗斯国家赞助的媒体Sputnik News被确定为该网络的重要组成部分。

关于COVID-19疫苗试验的流行新闻报道中驻留的恶意软件

2020年9月8日,牛津大学和阿斯利康公司暂停了COVID-19疫苗(AZD1222)的研发。在3期试验期间,英国一名妇女经历了一种与罕见的脊髓炎症疾病(称为横脊髓炎)相一致的不良神经状况。与大规模疫苗试验的典型情况一样,这名妇女的情况导致试验暂停,一直持续到9月12日,那时试验正式恢复。研究人员对围绕阿斯利康不良反应事件的推特对话进行了分析,发现社交媒体上的帖子通过嵌入的链接传播恶意软件。作恶者的一个可能目标是确定对疫苗问题最感兴趣的受众,以便以未来感兴趣的项目为微观目标群体,可能人为地使对话倾向于支持或反对某些疫苗。

图1:每日推文数量

如图1所示,我们的分析包括9月2日至12日的136597条推文。Twitter开发者的API使用关键字搜索“阿斯利康”、“AZN”、“AZD1222”和股票符号“$AZN”收集推文。从8日开始,与不良事件报告同时出现,推特数量大幅增加,9月9日确认超过80000条推特。

在所有收集的推文中,发现了15820个独特的URL(约11.5%的推文包含URL)。大多数Twitter用户利用推文中的URL来标记或将其受众重定向到相关新闻故事,如图2所示。流行新闻网站Stat news的这个特定URL在1265条推文中共享。

图2:典型的URL共享tweet

这些推文也可以作为传播恶意软件的载体。恶意软件可以被加载到一个与他人共享URL的网页上。这是一种在散布虚假信息和宣传中日益受到关注的技术。通过开源恶意软件检测平台VirusTotal (www.virustotal.com),我们在与阿斯利康的对话中发现了53个托管恶意软件的网站。其中有四个网址被俄罗斯政府支持的西班牙语Sputnik新闻(mundo.sputniknews.com)域名返回为恶意网址。我们发现这组域名里有七个不同的恶意软件包。如图3所示,其中包括可执行文件、android手机特定的恶意软件、Microsoft Office XML和被评为恶意的压缩文件夹。值得一提的是,俄罗斯的Sputnik新闻网站位于这个恶意网络的中心。

图3:恶意软件共享网络

世界报》。sputnik新闻在这个网络的中心(1),一系列的网站链接(2),连接IP地址按国家(3),和恶意和非恶意文件的组(4)。检查的细节恶意软件文件夹突出显示了21个独特的检测在单一文件。如图4所示,我们检测到一系列恶意软件文件。

该恶意软件设计用于访问在MS Windows上运行的几乎所有基于intel的硬件。它访问主机上的核心系统组件,包括kernel32.dll、shell32.dll和netmsg.dll文件,访问多个关键注册表文件,并在此过程中创建多个互斥文件。

互斥体最好通过一个例子来理解:web浏览器维护访问站点的历史记录。打开多个浏览器窗口时,每个浏览器进程将尝试更新历史文件,但一次只能锁定和更新该文件。通过向互斥对象注册文件,不同的进程知道何时等待访问该文件,直到其他进程完成更新。

分析表明,阿斯利康在西班牙语SputnikNews上的对话被用来传播恶意软件,专门用于监控用户在个人设备上的不知情行为。考虑到俄罗斯疫苗工作对拉丁美洲受众和政府的推广,这一点尤为重要。

图4:恶意软件文件的内容

随着新冠病毒-19疫苗的努力成为任何一天最热门的新闻话题之一,疫苗接种过程的停止几乎肯定会导致社交媒体的大量提及。图1所示的每日推文数量的激增显示了该话题的流行程度,但也显示了该话题的脆弱性。

由于有多个媒体报道任何给定的新闻,通常很难分析哪些网站是安全的,哪些是潜在的危险。对于不太懂行的互联网用户来说,这种考虑甚至可能不会发挥作用,这使得他们很容易受到恶意软件和病毒的攻击,只要点击错误的新闻报道。

虽然我们不知道有多少人被我们发现的恶意软件感染了,但我们可以说,错误的人点击错误的链接可能会造成灾难性的影响。其中一项功能可以捕捉用户屏幕上的敏感信息,比如地址、信用卡号码、身份识别,甚至是银行或政府等部门的机密信息。虽然我们能够提前捕获恶意软件,但那些没有同样强大安全措施的人将面临更大的风险。

这种恶意软件技术还可用于识别对疫苗故事感兴趣的用户,以便用未来的疫苗新闻瞄准他们。微目标定位允许公司定义特定的、严格的用户配置文件,以便为内容和广告创建受众。如果将用户放置在这些受众中,放置广告的公司可以向他们发送适合其兴趣的内容。例如,如果有人被标记为对疫苗新闻感兴趣,他们可能是广告购买的目标受众,目的是强调关于另一种疫苗开发的误导性、虚假或赞助性新闻。由于广告经常有机地出现在社交媒体订阅源中,有时很难区分朋友分享的文章和公司付费放在你面前的文章。

方法论

我们结合了社交网络分析、异常行为发现和恶意软件检测。我们扫描了15820个通过开源恶意软件检测平台VirusTotal (www.virustotal.com).扫描结果显示,在阿斯利康的谈话中,有53个网站存在恶意软件。

欲了解更多有关FAS虚假信息研究小组的信息,并查看以前的报告,ReportsReports请访问此处的项目页面.

类别:虚假信息