搜索...

西班牙语疫苗新闻故事托管恶意软件通过URL缩短者传播

经过2020年12月10日,

关键亮点

  • 与我们相比9月份报告这一更新发现了一个规模大得多的西班牙语新闻网络,报道了所有主要疫苗的嵌入式恶意软件文件。现在,通过比特等链接缩短服务。ly,一个第三方已经在拉丁美洲传播了与疫苗相关的恶意软件。
  • 对牛津 - AstraZeneca疫苗可能的不良反应的消息引发了一股社交媒体活动。股票,提到和推文的数量形成了恶意演员的理想入口点,以潜在地将恶意软件分配到数十万个不安的读者。嵌入式恶意软件可能为恶意演员提供操纵网关的机会,以放大对特定疫苗的疗效赋予疑问的叙述。这些努力以来,在至少五个拉丁美洲国家在牛津 - 阿斯泰伦卡,现代和辉瑞 - 比翁疫苗中经营不断推动信任。
  • 初步分析88,555个西班牙语推文发现俄罗斯的Mundo.sputniknews.com是这些恶意软件文件的震中,自以前的分析以来检测到八个额外的受感染文件。第二组扫描在域中识别出更多的恶意软件实例与先前报告中的初始17扫描相比。
  • 我们发现有证据表明,链接缩短服务被用来将拉丁美洲新闻媒体的链接转到受恶意软件感染的网页。链接缩短减少了字符数,使点击变得更容易,但它也模糊了目标URL。7074年缩短了。检测到Ly链接。这份报告发现一半在所有随机采样的比特链接中都与受感染的网站相关联。

恶意软件在热门新闻故事中托管有关Covid-19疫苗试验的热门新闻报道

2020年9月18日,FAS发布了一份报告在Sputnik新闻的西班牙语链接mundo.sputniknews.com上查找与新冠病毒疫苗开发相关的恶意软件文件网络。该报告发现了53个被恶意软件感染的网站,这些恶意软件在Twitter上传播,此前有关不良反应的指控导致牛津-阿斯利康(AZD1222)疫苗试验暂停。

我们的第一份报告收集了136,597条推文,仅局限于阿斯利康COVID-19疫苗,而本次更新收集了从11月18日至12月1日的500,166条推文,其中包含关键术语“阿斯利康”、“斯普特尼克V”、“Moderna”和“辉瑞”。其中,有88555条用西班牙语写的推文被分析为潜在的恶意软件感染。

我们的分析表明mundo.sputniknews.com域名的感染仍在继续。发现了8个独立的文件,有52个独特的扫描检测各种恶意软件-从最初报告的17个扫描上升(见图1)。

图1:俄罗斯的Sputnik Mundo网络与感染
图1:俄罗斯的Sputnik Mundo网络与感染

许多公布的故事包含有关可能的并发症或对疫苗疗效持怀疑症的信息。顶级翻译的故事是标题“可以复杂化现代和辉瑞疫苗的细节”(见图2)。

图2:Mundo.sputniknews.com上的顶级页面页面,翻译
图2:Mundo.sputniknews.com上的顶级页面页面,翻译

使用恶意软件的一个可能解释是,犯罪者可以识别和跟踪对COVID-19疫苗状态感兴趣的受众。从这里开始,针对感兴趣的群体的微目标可能会人为地使有关某些疫苗的对话有利。这种策略在这些网站上很有效,这些网站已经在推广质疑西方疫苗的材料。

此外,在西班牙语Twitter生态系统中,7,074次缩短了与Covid-19疫苗有关的位。使用链接缩短是一个新的发现和令人担忧的一个。它不仅通过减少URL字符在Twitter上启用额外的消息传递,链接缩短也可以掩盖URL的最终目标。患有恶意软件感染的本机西班牙语新闻网络与痰多孔感染不同。与Sputnik Mundo域不同,对拉丁美洲新闻网点的比特链接是间接地进行的,首先连接到IP,它会将流量引用到新闻故事URL,但也托管恶意软件。此过程具有通过单击嵌入推文中的位链接的位间接扩展恶意软件。

的一点。Ly链接共享超过25次,我们的分析随机选择了10次。一半被感染,另一半是干净的。受感染的域名包括:阿根廷新闻网站(www.pagina12.com.ar.ar.)是东委内瑞拉州的报纸(www.correodelcaroni.com),智利新闻媒体(https://www.latercera.com),秘鲁新闻机构(https://elcercio.com.)和墨西哥新闻出口(https://www.laoctava.com.).

受感染网络内恶意软件的类型是多种多样的。我们的结果显示了77种独特的恶意软件,包括基于广告软件的恶意软件,在32位和64位PC系统上访问Windows注册表键的恶意软件,APK漏洞,数字硬币挖掘者,蠕虫,以及其他。我们的分析表明,恶意软件旨在监控用户在设备上的个人行为。

恶意软件网络是健壮的,但不是高度互连的(参见图3)。

图3:五个受感染域的网络
图3:五个受感染域的网络

检查该网络中包含的恶意软件显示有趣的归属信息。虽然大部分特定恶意软件(例如MD5散列:1AA1BB71C250ED857C20406FFF0F802C,在Chilean新闻插座上发现https://www.latercera.com)具有中立的编码标准,文件中的两种语言资源被注册为“Chinese Traditional”(参见图4)。

图4:恶意软件属性信息
图4:恶意软件属性信息

由于在编码过程中对语言资源的操纵很常见,恶意软件代码中出现的繁体字表明恶意软件的发起者可能试图混淆恶意软件检测软件。

然而,我们的分析发现该恶意软件的IP地址位于匈牙利,而其控制机构在阿姆斯特丹(见图5)。该IP地址还与Undernet (https://www.undernet.org/)是最大的Internet聊天域之一,具有超过17,444个用户的6,621个通道和已知恶意软件源的源。同样,这是一个智利新闻出口的一个恶意软件,拉动了仔细检查。统称,我们的研究结果展示了Covid-19疫苗谈话中的网络化生产和分布恶意软件。

图5:在匈牙利举办恶意软件知识产权
图5:在匈牙利举办恶意软件知识产权

恶意软件网络很大,并为疫苗故事提供有效载荷提供明确的威胁向量。疫苗恶意软件 - 消号已经扩散到俄罗斯的Sputnik Mundo网络之外,并朝着阿根廷,委内瑞拉,智利,秘鲁和墨西哥的一系列其他域名。考虑到拉丁美洲的克里姆林宫已经提出的攻击性阴谋理论已经尤其令人震惊该地区各国政府对Sputnik V疫苗的使用事实上,俄罗斯正在供应墨西哥3200万剂斯普特尼克五号委内瑞拉阿根廷将分别购买1000万剂和2500万剂,而秘鲁目前正在谈判购买斯普特尼克5号

通过恶意策划的受众,将丝网v供应与有针对性信息配对,以支持其使用和表达西式疫苗,这将变得明显更容易。

考虑到Covid-19疫苗努力可以说是任何一天中最重要的新闻主题,Astrazeneca Covid-19临床试验中的社交媒体活动中的尖峰标志着恶意软件 - 虚假信息的关键进入点。然而,自9月份以来,网络在很大程度上贯穿于西班牙语推特上 - 以及在整个拉丁美洲的斯图尼克v。

随着关于大流行和疫苗的报道激增,很难知道哪些地方是安全的,哪些地方是危险的。这种风险对于不太懂行的互联网用户来说更大,他们甚至可能不会考虑恶意软件的脆弱性。不幸的是,很难确定被发现的恶意软件感染的个人数量。即使一个人点击了错误的链接,也可能会造成灾难性的影响,因为恶意软件会把敏感信息从信用卡号码吸走,变成用户屏幕上的机密信息。

最令人担忧的是恶意软件技术可以创建对可以随后定位的疫苗故事感兴趣的用户库。如果用于微目标,图书馆将成为目标的有效受众,以获得更多疫苗错误信息。

方法

我们进行了社交网络分析,异常行为发现和恶意软件检测的组合。我们扫描了88,555个专题特定URL,通过开源恶意软件检测平台virustotal(www.virustotal.com.).

想了解更多关于FAS虚假信息研究小组的信息以及之前的报告,ReportsReports访问项目页面

类别:恶意软件