搜索...

疫苗新闻故事托管恶意软件在西班牙语推特上传播

通过2020年9月23日

关键亮点

  • 新闻网站在牛津 - Astrazeneca疫苗试验托管恶意软件文件中发布故事。在网络的中心是西班牙语Sputnik新闻链接mundo.sputniknews.com.
  • 对牛津 - AstraZeneca疫苗可能的不良反应的消息导致了社交媒体活动的尖峰。疫苗是发展中最高的发展瞩目之一,在社交媒体上制作关于它的热门话题的任何重要新闻故事。因为它是全部的,但保证关于疫苗在线讨论会爆炸,隐藏关于当天最热门主题的文章中的恶意软件为不知情的读者带来了显着的脆弱性。
  • 分析发现,恶意软件与涵盖牛津和阿斯利康相关故事的热门新闻网站有关。这一发现是通过扫描15820个牛津-阿斯利康疫苗的链接得出的。扫描结果显示有53个网站在阿斯利康的对话中存在恶意软件。在这些网站上放置恶意软件可能会为作恶者提供机会,操纵额外的网络流量给不知情的用户,以莫名其妙地放大那些可能对特定疫苗的功效产生怀疑的故事。
  • 值得注意的是,俄罗斯国家赞助的媒体,Sputnik新闻被确定为该网络的大量组成部分。

关于COVID-19疫苗试验的流行新闻报道中托管的恶意软件

2020年9月8日,牛津大学和阿斯利康暂停了COVID-19疫苗(AZD1222)的研发。在第三期临床试验中,英国的一名妇女出现了与罕见的脊髓炎性疾病(即横贯性脊髓炎)相一致的不良神经系统疾病。与大规模疫苗试验的典型情况一样,这名妇女的病情引发了试验暂停,一直持续到9月12日,试验才正式恢复。研究人员对围绕阿斯利康不良反应事件的Twitter对话进行了分析,发现社交媒体上的帖子通过帖子中嵌入的链接传播恶意软件。肇事者的一个可能目标是确定对疫苗问题最感兴趣的受众,以便从微观上把未来感兴趣的项目作为目标群体,可能人为地使对话偏向支持或反对某些疫苗。

图1:每日推文号码

在图1中见过,我们的分析包括从9月2日 - 12日的136,597推文。使用关键字搜索“Astrazeneca”,“AZN”,“AZD1222”和股票符号“$ AZN”从Twitter开发人员API收集推文。从8日开始,与不良事件报告恰逢其大,推文的数量增加,9月9日确定了超过80,000名推文。

在所有收集的推文中,发现了15,820个唯一的URL(约有11.5%的推文包含URL)。大多数Twitter用户在其推文中使用URL,目的是标记或将观众重定向到相关的新闻故事,如图2所示。本特定的新闻网站的特定URL,STAT新闻在1,265个推文中共享。

图2:典型的URL共享tweet

这些推文也可以作为恶意软件传播的载体。恶意软件可以被加载到一个与他人共享URL的网页上。这是一种在散布虚假信息和宣传中日益受到关注的技术。通过开源恶意软件检测平台VirusTotal (www.virustotal.com.),我们在阿斯利康的谈话中发现了53个含有恶意软件的网站。其中有四个网址是由俄罗斯政府资助的西班牙语Sputnik News (mundo.sputniknews.com)域名恶意返回的。我们破解了这些域名包含了七个不同的恶意软件包。如图3所示,这些文件包括可执行文件、android手机专用恶意软件、Microsoft Office XML和一个被评为恶意的压缩文件夹。值得注意的是,俄罗斯的Sputnik新闻网站位于恶意网络的中心。

图3:恶意软件共享网络

世界报》。在这个网络中心的sputnik新闻(1),一系列的网站链接(2),按国家连接的IP地址(3),恶意和非恶意文件(4)。如图4所示,我们检测到一系列恶意软件文件。

恶意软件旨在访问MS Windows上的几乎所有基于英特尔的硬件。它访问了核心系统组件,包括主机上的内核32.dll,shell32.dll和netmsg.dll文件,并访问多个关键注册表文件,并在此过程中创建多个互斥锁文件。

在一个例子中最好地理解互斥锁:Web浏览器维护访问的站点的历史记录。使用多个浏览器Windows打开,每个浏览器进程将尝试更新历史文件,但只有一个可以一次锁定并更新文件。通过使用互斥锁对象注册文件,不同的进程知道何时等待访问该文件,直到其他进程已完成更新。

分析表明,西班牙语Sputniknews上的Astrazeneca对话正在用于扩展恶意软件,专门用于监控其个人设备上不知情的用户行为。考虑到拉丁美洲受众和政府的俄罗斯疫苗努力,这尤其重要。

图4:恶意软件文件的内容

通过Covid-19疫苗努力,在任何一天的最热新闻主题中,停止疫苗过程,但保证在社交媒体提到的巨大飙升。在图1中看到的每日推文号码中的尖峰显示了主题是多么受欢迎,也显示了对话的易受攻击。

由于任何一篇新闻报道都有多个媒体报道,通常很难分析哪些网站是安全的,哪些是潜在的危险。对于不那么精明的互联网用户来说,这种考虑可能根本不起作用,这让他们很容易受到恶意软件和病毒的攻击,只要点击了错误的新闻就行了。

虽然我们不知道有多少人感染了我们发现的恶意软件,但我们可以说,错误的人点击了错误的链接可能会造成灾难性的影响。其中一个特别的功能可以捕获用户屏幕上的敏感信息,比如地址、信用卡号码、身份证明,甚至是银行或政府部门的机密信息。虽然我们能够提前捕获恶意软件,但那些没有同样强大安全性的软件将面临更大的风险。

这种恶意软件技术还可用于识别对疫苗故事感兴趣的用户,以便使用未来的疫苗新闻。微目标允许公司定义特定的刚性用户配置文件,以便为内容和广告创建受众。如果用户被置于其中一个受众中,则提供广告的公司可以向其兴趣定制的内容。例如,如果有人被标记为对疫苗新闻感兴趣,他们可能是一个针对广告的目标接收者,以突出显示其他疫苗的发展的误导,虚假或赞助的新闻。由于广告通常在社交媒体饲料中有机出现,因此有时很难区分您的朋友共享的文章和一条公司在您面前支付的公司。

方法

我们结合了社交网络分析、异常行为发现和恶意软件检测。我们通过开源恶意软件检测平台VirusTotal (www.virustotal.com.).扫描结果显示有53个网站在阿斯利康的对话中存在恶意软件。

有关FAS DISINATION研究小组的更多信息,并查看以前的报告,ReportsReports访问项目页面

类别:虚假信息