搜索…

恶意软件在西班牙语推特上传播的疫苗新闻故事

通过2020年9月23日

主要亮点

  • 发布关于牛津-阿斯利康疫苗试验暂停的新闻网站托管了恶意文件。该网络的中心是西班牙语的Sputnik新闻链接mundo.sputniknews.com
  • 关于牛津-阿斯利康疫苗可能出现不良反应的消息在社交媒体上引起了活跃。这种疫苗是开发中最引人注目的疫苗之一,使任何有关它的重大新闻都成为社交媒体上的热门话题。因为几乎可以肯定的是,关于疫苗的网上讨论将会爆发,在有关当今最热门话题的文章中隐藏恶意软件会给不知情的读者带来显著的脆弱性。
  • 分析发现,恶意软件与涵盖牛津和阿斯利康相关故事的热门新闻网站有关。这一发现是通过扫描15820个牛津-阿斯利康疫苗的链接得出的。扫描结果显示有53个网站在阿斯利康的对话中存在恶意软件。在这些网站上放置恶意软件可能会为作恶者提供机会,操纵额外的网络流量给不知情的用户,以莫名其妙地放大那些可能对特定疫苗的功效产生怀疑的故事。
  • 值得注意的是,俄罗斯国家资助的媒体Sputnik News被认为是这个网络的一个重要组成部分。
图1:每日推文数量

关于COVID-19疫苗试验的流行新闻报道中托管的恶意软件


2020年9月8日,牛津大学和阿斯利康暂停了COVID-19疫苗(AZD1222)的研发。在第三期临床试验中,英国的一名妇女出现了与罕见的脊髓炎性疾病(即横贯性脊髓炎)相一致的不良神经系统疾病。与大规模疫苗试验的典型情况一样,这名妇女的病情引发了试验暂停,一直持续到9月12日,试验才正式恢复。研究人员对围绕阿斯利康不良反应事件的Twitter对话进行了分析,发现社交媒体上的帖子通过帖子中嵌入的链接传播恶意软件。肇事者的一个可能目标是确定对疫苗问题最感兴趣的受众,以便从微观上把未来感兴趣的项目作为目标群体,可能人为地使对话偏向支持或反对某些疫苗。

如图1所示,我们的分析包括了从9月2日到12日的136,597条推文。Twitter的推文是通过关键词搜索“阿斯利康”、“AZN”、“AZD1222”和股票代码“$AZN”,从这家Twitter开发商的API中收集的。从8日开始,与不良事件报告相吻合,推文数量大幅增加,9月9日确定的推文超过80000条。

在所有收集到的tweets中,发现了15820个唯一的URL(大约11.5%的tweets包含一个URL)。大多数Twitter用户在其tweets中使用url,目的是标记或将其受众重定向到相关新闻报道,如图2所示。这个热门新闻网站Stat news的URL被1265条推特分享。

图2:典型的URL共享tweet

这些推文也可以作为恶意软件传播的载体。恶意软件可以被加载到一个与他人共享URL的网页上。这是一种在散布虚假信息和宣传中日益受到关注的技术。通过开源恶意软件检测平台VirusTotal (www.virustotal.com),我们在阿斯利康的谈话中发现了53个含有恶意软件的网站。其中有四个网址是由俄罗斯政府资助的西班牙语Sputnik News (mundo.sputniknews.com)域名恶意返回的。我们破解了这些域名包含了七个不同的恶意软件包。如图3所示,这些文件包括可执行文件、android手机专用恶意软件、Microsoft Office XML和一个被评为恶意的压缩文件夹。值得注意的是,俄罗斯的Sputnik新闻网站位于恶意网络的中心。

图3:恶意软件共享网络

世界报》。在这个网络中心的sputnik新闻(1),一系列的网站链接(2),按国家连接的IP地址(3),恶意和非恶意文件(4)。如图4所示,我们检测到一系列恶意软件文件。

该恶意软件旨在访问几乎所有运行在微软Windows上的基于英特尔的硬件。它访问主机上的核心系统组件,包括kernel32.dll、shell32.dll、netmsg.dll文件,访问多个关键注册表文件,并在此过程中创建多个互斥量文件。

互斥最好在示例中理解。Web浏览器维护访问站点的历史记录。当多个浏览器窗口打开时,每个浏览器进程将尝试更新历史文件,但每次只有一个进程可以锁定和更新该文件。通过用互斥对象注册文件,不同的进程知道何时等待访问文件,直到其他进程完成更新。

分析表明,阿斯利康在西班牙语SputnikNews上的对话被用来传播恶意软件,这些恶意软件专门用于监控用户在个人设备上不知情的行为。考虑到俄罗斯疫苗工作向拉丁美洲观众和政府的宣传,这一点尤其重要。

图4:恶意软件文件内容

由于COVID-19疫苗接种工作每天都是最热门的新闻话题,疫苗接种过程的暂停几乎肯定会在社交媒体上引起巨大的关注。图1所示的每日推文数量的峰值显示了这个话题是多么受欢迎,但也显示了这个对话是多么脆弱。

由于任何一篇新闻报道都有多个媒体报道,通常很难分析哪些网站是安全的,哪些是潜在的危险。对于不那么精明的互联网用户来说,这种考虑可能根本不起作用,这让他们很容易受到恶意软件和病毒的攻击,只要点击了错误的新闻就行了。

虽然我们不知道有多少人感染了我们发现的恶意软件,但我们可以说,错误的人点击了错误的链接可能会造成灾难性的影响。其中一个特别的功能可以捕获用户屏幕上的敏感信息,比如地址、信用卡号码、身份证明,甚至是银行或政府部门的机密信息。虽然我们能够提前捕获恶意软件,但那些没有同样强大安全性的软件将面临更大的风险。

这种恶意软件技术还可以用来识别对疫苗故事感兴趣的用户,以便向他们提供未来的疫苗新闻。微目标定位允许公司定义特定的、严格的用户档案,以便为内容和广告创造受众。如果用户被放置在这些受众之中,投放广告的公司就能够为他们发送符合他们兴趣的内容。例如,如果有人被标记为对疫苗新闻感兴趣,他们就可能成为购买广告的目标接受者,这些广告旨在强调有关另一种疫苗开发的误导性、虚假或赞助新闻。由于广告通常会有机地出现在社交媒体上,有时很难区分你的朋友分享的文章和公司付费放在你面前的文章。

方法

我们结合了社交网络分析、异常行为发现和恶意软件检测。我们通过开源恶意软件检测平台VirusTotal (www.virustotal.com).扫描结果显示有53个网站在阿斯利康的对话中存在恶意软件。

想了解更多关于FAS虚假信息研究项目的信息,并查看之前的报告,ReportsReports在这里访问项目页面