带有恶意软件的疫苗新闻在西班牙语的推特上传播

主要亮点

  • 新闻网站发布的暂停牛津-阿斯利康疫苗试验的报道中存有恶意文件。网络的中心是西班牙语的Sputnik新闻链接mundo.sputniknews.com
  • 牛津-阿斯利康联合疫苗可能出现不良反应的消息引发了社交媒体的活跃。该疫苗是研发中最受瞩目的疫苗之一,因此任何有关该疫苗的重大新闻都成为社交媒体上的热门话题。因为几乎可以肯定的是,关于疫苗的在线讨论将会爆发,所以在有关当天最热门话题的文章中隐藏恶意软件会给不知情的读者带来重大的漏洞。
  • 分析发现,在涉及牛津-阿斯利康相关报道的热门新闻网站上发现了恶意软件。这一发现是通过扫描覆盖牛津-阿斯利康疫苗的15820个网址发现的。扫描结果显示,在阿斯利康的对话中存在53个恶意软件站点。在这些网站中放置恶意软件,可能会为不法分子提供机会,操纵不知情用户的额外网络流量,以非有机地放大故事,从而使人们对特定疫苗的效力产生怀疑。
  • 值得注意的是,俄罗斯国家赞助的媒体,Sputnik News,被认为是这个网络的一个重要组成部分。
图1:每日推文数量

关于COVID-19疫苗试验的流行新闻报道中存在恶意软件


2020年9月8日,牛津大学和阿斯利康公司暂停了新冠肺炎疫苗(AZD1222)的研制。在第三期试验中,一名英国妇女经历了一种不良的神经系统疾病,这种疾病与一种罕见的脊柱炎症性疾病——横脊髓炎相一致。与大规模疫苗试验的典型情况一样,该妇女的病情导致试验暂停,持续到9月12日,然后试验正式恢复。对围绕阿斯利康不良反应事件的Twitter对话进行了分析,发现社交媒体上的帖子通过嵌入的链接传播恶意软件和恶意软件。行凶者的一个可能目标是确定对疫苗问题最感兴趣的受众,以便对该群体进行微观目标定位,以确定未来感兴趣的项目,可能人为地倾斜支持或反对某些疫苗的对话。

如图1所示,我们的分析包含了9月2日至9月12日期间的136,597条tweets。Twitter开发人员使用关键字搜索“AstraZeneca”、“AZN”、“AZD1222”和股票代码“$AZN”,从Twitter开发人员的API收集tweet信息。从8日开始,与不良事件报告相吻合,推文量大幅增加,9月9日确认推文超过8万条。

在所有收集到的tweets中,发现了15,820个唯一的URL(大约11.5%的tweets包含一个URL)。大多数Twitter用户在其tweet中使用url,目的是标记或将受众重定向到相关的新闻故事,如图2所示。这个流行新闻网站Stat news的特定URL在1265条推文中被分享。

图2:典型的URL共享tweet

这些推文也可以作为恶意软件传播的载体。恶意软件可以被装载到一个与他人共享URL的网页上。在传播虚假信息和宣传中,这是一种日益受到关注的技术。通过开源恶意软件检测平台VirusTotal (www.virustotal.com),我们在阿斯利康的对话中发现了53个恶意软件站点。俄罗斯政府赞助的西班牙语卫星新闻(Sputnik News)网站(mundo.sputniknews.com)的四个url被恶意退回。我们解密了这些域名托管了7个不同的恶意软件包。如图3所示,这些包括可执行文件、特定于android手机的恶意软件、Microsoft Office XML和一个被列为恶意的压缩文件夹。值得注意的是,俄罗斯的Sputnik新闻网站处于恶意网络的中心。

图3:恶意软件共享网络

世界报》。网络中心的sputnik新闻(1),一系列网站链接(2),按国家连接的IP地址(3),以及一组恶意和非恶意文件(4)。对恶意软件压缩文件夹的详细检查显示,该单一文件中存在21种独特的检测。如图4所示,我们检测到了一系列恶意软件文件。

该恶意软件旨在访问几乎所有运行在微软Windows上的基于英特尔(intel)的硬件。它访问包括kernel32在内的核心系统组件。dll, shell32。dll和netmsg.dll文件,并在此过程中访问多个关键注册表文件,并创建多个互斥锁文件。

最好在示例中理解互斥锁。Web浏览器维护访问站点的历史日志。当多个浏览器窗口打开时,每个浏览器进程将尝试更新历史文件,但一次只能锁定和更新文件。通过用互斥对象注册文件,不同的进程知道什么时候等待访问文件,直到其他进程完成更新。

分析表明,阿斯利康公司关于西班牙语卫星新闻的对话被用来传播恶意软件,这种恶意软件专门用来监视不知情的用户在个人设备上的行为。考虑到俄罗斯疫苗接种工作向拉丁美洲观众和政府的推广,这一点尤其重要。

图4:恶意软件文件内容

由于新冠肺炎疫苗接种工作在任何一天都是最热门的新闻话题,疫苗接种过程的暂停几乎肯定会导致社交媒体上的提及量大幅上升。图1所示的每日推文数量的峰值显示了这个话题有多受欢迎,但也显示了这个对话有多脆弱。

由于有多个媒体对任何特定的新闻报道,通常很难分析哪些网站是安全的,哪些是潜在的危险。对于不那么精明的互联网用户来说,这种考虑可能根本不起作用,这使得他们很容易受到恶意软件和病毒的攻击,而仅仅是点击了错误的新闻故事。

虽然我们不知道我们发现有多少人感染了恶意软件,但我们可以说,错误的人点击了错误的链接可能会造成灾难性的影响。其中一个功能可以捕捉用户屏幕上的敏感信息,比如地址、信用卡号码、身份,甚至是银行或政府等部门的机密信息。虽然我们能够提前捕获恶意软件,但那些没有同样强大的安全措施的用户将面临更大的风险。

这种恶意软件技术也可用于识别对疫苗报道感兴趣的用户,以便针对他们提供未来的疫苗新闻。微目标允许公司定义特定的,严格的用户档案,以创造内容和广告的受众。如果用户被放置在这些受众中的一个,投放广告的公司可以发送针对他们兴趣的内容。例如,如果有人被标记为对疫苗新闻感兴趣,他们可能会成为某个广告的目标受众,该广告旨在突出有关另一种疫苗开发的误导性、虚假或赞助新闻。由于广告通常是有机地出现在社交媒体feed中,所以有时很难区分你的朋友分享的文章和公司付费放在你面前的文章。

方法

我们结合了社会网络分析、异常行为发现和恶意软件检测。我们扫描了15820个主题特定的url,通过一个开源恶意软件检测平台VirusTotal (www.virustotal.com)。扫描结果显示,在阿斯利康的对话中存在53个恶意软件站点。

想了解更多关于FAS虚假信息研究项目的信息,并查看之前的报告,ReportsReports点击这里访问项目页面

留下一个回复

您的电子邮件地址将不会被公布。必填字段被标记*