搜索...

西班牙语疫苗新闻故事托管恶意软件通过URL缩短者传播

经过2020年12月10日,

关键亮点

  • 与我们相比9月份报告,这次更新发现了一个更大的西班牙语COVID-19疫苗新闻网络,其中嵌入了所有主要疫苗的恶意软件文件。现在,通过像比特这样的链接缩短服务。一个第三方已经在拉丁美洲传播了与疫苗相关的恶意软件。
  • 对牛津 - AstraZeneca疫苗可能的不良反应的消息引发了一股社交媒体活动。股票,提到和推文的数量形成了恶意演员的理想入口点,以潜在地将恶意软件分配到数十万个不安的读者。嵌入式恶意软件可能为恶意演员提供操纵网关的机会,以放大对特定疫苗的疗效赋予疑问的叙述。这些努力以来,在至少五个拉丁美洲国家在牛津 - 阿斯泰伦卡,现代和辉瑞 - 比翁疫苗中经营不断推动信任。
  • 初步分析88,555个西班牙语推文发现俄罗斯的Mundo.sputniknews.com是这些恶意软件文件的震中,自以前的分析以来检测到八个额外的受感染文件。第二组扫描在域中识别出更多的恶意软件实例与先前报告中的初始17扫描相比。
  • 我们发现有证据表明,链接缩短服务被用来将拉丁美洲新闻机构的报道链接重定向到受恶意软件感染的网页。链接缩短减少了字符数量,使点击更容易,但它也模糊了目标URL。7074年缩短了。检测到Ly链接。这份报告发现一半在所有随机采样的比特链接中都与受感染的网站相关联。

关于COVID-19疫苗试验的流行新闻报道中托管的恶意软件

2020年9月18日,FAS发布了一份报告在西班牙语Sputnik News上查找与COVID-19疫苗开发相关的恶意软件文件网络。该报告揭露了53个被恶意软件感染的网站,这些恶意软件在推特上传播开来。此前,有关不良反应的指控导致牛津-阿斯利康(AZD1222)疫苗试验暂停。

我们的第一份报告收集了136,597条推文,仅限于阿斯利康COVID-19疫苗,而本次更新提供了从11月18日至12月1日的500,166条推文,包含“阿斯利康”、“Sputnik V”、“Moderna”和“辉瑞”等关键词。其中,88,555条用西班牙语写的推文被分析了潜在的恶意软件感染。

我们的分析表明,mundo.sputniknews.com域名的感染仍在继续。发现了8个单独的文件,52个独特的扫描检测各种恶意软件-从最初报告中的17个扫描(见图1)。

图1:俄罗斯的Sputnik Mundo网络与感染
图1:俄罗斯的Sputnik Mundo网络与感染

许多公布的故事包含有关可能的并发症或对疫苗疗效持怀疑症的信息。顶级翻译的故事是标题“可以复杂化现代和辉瑞疫苗的细节”(见图2)。

图2:Mundo.sputniknews.com上的顶级页面页面,翻译
图2:Mundo.sputniknews.com上的顶级页面页面,翻译

使用恶意软件背后的一个可能解释是,作恶者可以识别并跟踪对COVID-19疫苗状况感兴趣的受众。从那以后,对感兴趣的群体进行微靶向可以人为地使有关某些疫苗的对话偏向有利的方向。这种策略在这些站点上很有效,这些站点已经在推广质疑西方疫苗的物质。

此外,在西班牙语Twitter生态系统中,7,074次缩短了与Covid-19疫苗有关的位。使用链接缩短是一个新的发现和令人担忧的一个。它不仅通过减少URL字符在Twitter上启用额外的消息传递,链接缩短也可以掩盖URL的最终目标。患有恶意软件感染的本机西班牙语新闻网络与痰多孔感染不同。与Sputnik Mundo域不同,对拉丁美洲新闻网点的比特链接是间接地进行的,首先连接到IP,它会将流量引用到新闻故事URL,但也托管恶意软件。此过程具有通过单击嵌入推文中的位链接的位间接扩展恶意软件。

的一点。Ly链接被分享超过25次,我们的分析随机选择了10个。一半被感染,另一半是干净的连接。受感染域名包括:阿根廷新闻网站(www.pagina12.com.ar.ar.)是东委内瑞拉州的报纸(www.correodelcaroni.com),智利新闻机构(https://www.latercera.com),秘鲁新闻机构(https://elcercio.com.)和墨西哥新闻出口(https://www.laoctava.com.).

被感染网络中的恶意软件的类型是多样的。我们的结果显示了77个独特的恶意软件,包括基于广告的恶意软件,访问32位和64位PC系统上的Windows注册表项的恶意软件,APK漏洞,数字硬币矿工,蠕虫等。我们的分析表明,恶意软件旨在监控用户设备上的个人行为。

恶意软件网络是健壮的,但不是高度互联的(见图3)。

图3:五个受感染域的网络
图3:五个受感染域的网络

检查该网络中包含的恶意软件显示有趣的归属信息。虽然大部分特定恶意软件(例如MD5散列:1AA1BB71C250ED857C20406FFF0F802C,在Chilean新闻插座上发现https://www.latercera.com)具有中立的编码标准,文件中的两种语言资源被注册为“Chinese Traditional”(见图4)。

图4:恶意软件的属性信息
图4:恶意软件的属性信息

由于在编码时对语言资源的操纵是很常见的,在恶意软件的代码中出现中国繁体字表明恶意软件的发起者可能试图混淆恶意软件检测软件。

然而,我们的分析发现该恶意软件的IP地址位于匈牙利,而其持有机构在阿姆斯特丹(见图5)。https://www.undernet.org/)是最大的Internet聊天域之一,具有超过17,444个用户的6,621个通道和已知恶意软件源的源。同样,这是一个智利新闻出口的一个恶意软件,拉动了仔细检查。统称,我们的研究结果展示了Covid-19疫苗谈话中的网络化生产和分布恶意软件。

图5:在匈牙利举办恶意软件知识产权
图5:在匈牙利举办恶意软件知识产权

恶意软件网络很大,并为疫苗故事提供有效载荷提供明确的威胁向量。疫苗恶意软件 - 消号已经扩散到俄罗斯的Sputnik Mundo网络之外,并朝着阿根廷,委内瑞拉,智利,秘鲁和墨西哥的一系列其他域名。考虑到拉丁美洲的克里姆林宫已经提出的攻击性阴谋理论已经尤其令人震惊该地区的政府将使用Sputnik V疫苗。实际上,俄罗斯正在提供墨西哥带着3200万剂Sputnik V委内瑞拉阿根廷将分别购买1 000万剂和2 500万剂,而秘鲁目前正处于谈判购买Sputnik V

通过恶意策划的受众,将丝网v供应与有针对性信息配对,以支持其使用和表达西式疫苗,这将变得明显更容易。

考虑到Covid-19疫苗努力可以说是任何一天中最重要的新闻主题,Astrazeneca Covid-19临床试验中的社交媒体活动中的尖峰标志着恶意软件 - 虚假信息的关键进入点。然而,自9月份以来,网络在很大程度上贯穿于西班牙语推特上 - 以及在整个拉丁美洲的斯图尼克v。

随着关于大流行和疫苗的报告激增,很难知道哪些地点是安全的,哪些是危险的。这种风险对于不那么精明的互联网用户来说被放大了,他们甚至可能没有考虑到恶意软件的脆弱性。不幸的是,很难说有多少人被发现的恶意软件感染。即使是一个人点击了错误的链接,也可能会产生灾难性的影响,因为恶意软件会虹吸敏感信息,从信用卡号到出现在用户屏幕上的机密信息。

最令人担忧的是恶意软件技术可以创建对可以随后定位的疫苗故事感兴趣的用户库。如果用于微目标,图书馆将成为目标的有效受众,以获得更多疫苗错误信息。

方法

我们结合了社交网络分析、异常行为发现和恶意软件检测。我们通过开源恶意软件检测平台VirusTotal (www.virustotal.com.).

想了解更多关于FAS虚假信息研究小组的信息,并查看之前的报告,ReportsReports访问项目页面

类别:恶意软件