Grayware và phương pháp giảm thiểu tác hại của Grayware

08:00 | 10/04/2019 | HACKER / MALWARE

Mặc dù Grayware (phần mềm xám) đang là một trong những vấn đề phổ biến nhất trong lĩnh vực an ninh mạng, nhưng khái niệm về Grayware vẫn còn tương đối mới mẻ. Vậy Grayware là gì, tại sao trở thành một vấn đề đáng lưu tâm và cần phải đối phó như thế nào? Bài viết cung cấp các thông tin cơ bản, cần thiết về Grayware và hướng dẫn người dùng cách bảo vệ trước Grayware.

Grayware và phương pháp giảm thiểu tác hại của Grayware

Khái niệm về Grayware

Đúng như tên gọi của nó, Grayware là một loại phần mềm nằm trong “vùng xám”. Tên của Grayware bắt nguồn từ bản chất của chúng: các phần mềm được đưa vào “vùng xám”, tức giữa phần mềm độc hại (malware) và phần mềm hợp lệ thông thường (software).

Grayware là chương trình không mong muốn tiềm tàng, bởi không phải là mã độc, không được phân loại là virus, nhưng vẫn có thể gây khó chịu và thậm chí là có hại. Nó bao gồm các tệp hoặc ứng dụng có thể thực hiện các hành vi không mong muốn, chẳng hạn như theo dõi hành vi trực tuyến của người dùng hoặc gửi cho người dùng một loạt cửa sổ pop-up. Phần mềm xám có thể gây phiền nhiễu, nhưng quan trọng hơn là nó làm giảm hiệu năng của máy tính hoặc thiết bị di động của người dùng, khiến người dùng gặp rủi ro về an toàn thông tin.

Có 02 loại Grayware phổ biến nhất hiện nay là adware (phần mềm quảng cáo) và spyware (phần mềm gián điệp).

Mục đích chính của adware là kiếm tiền thông qua quảng cáo, nhắm mục tiêu đến người dùng máy tính hoặc thiết bị di động. Chúng có thể có hoặc không thu thập dữ liệu cá nhân người dùng và gửi tới bên thứ ba. Adware thường gây phiền nhiễu và làm giảm hiệu năng của máy tính.

Mục đích chính của spyware là theo dõi và ghi chép hành vi trực tuyến của người dùng, sau đó gửi thông tin này cho bên thứ ba, thường với mục tiêu bán hàng. Thông tin người dùng có thể bao gồm các thông tin bí mật về tài chính, cá nhân như tên đăng nhập và mật khẩu các tài khoản, thẻ tín dụng. Thông thường, spyware sẽ không công khai yêu cầu người dùng cho phép cài đặt các thành phần thu thập dữ liệu người dùng, các thiết bị và sử dụng các dữ liệu này. Thay vào đó, chúng ẩn mình và hoạt động ngầm để tránh bị phát hiện.

Phần mềm quảng cáo và phần mềm gián điệp có thể được cài đặt cùng nhau và kết hợp với nhau. Phần mềm gián điệp theo dõi và thu thập thông tin về hành vi trực tuyến của người dùng, tạo hồ sơ, trong khi phần mềm quảng cáo sử dụng thông tin đó để hiển thị quảng cáo.

Ảnh hưởng của Grayware tới người dùng

Grayware có thể thu thập thông tin nhạy cảm

Dữ liệu người dùng là tài sản có giá trị rất lớn trên Internet. Lưu ý, những gã khổng lồ Internet như Google hoặc Facebook chủ yếu kiếm lợi nhuận từ việc bán quảng cáo. Họ giành được sự phổ biến đối với đa số người dùng Internet, nên có thể yêu cầu phí cho việc tham gia vào nguồn tài nguyên quảng cáo đó. Vấn đề về quyền riêng tư và an toàn đối với những nền tảng này đã được quan tâm và sẽ còn được tiếp tục chú ý. Tuy nhiên, vấn đề này trở nên phức tạp hơn khi các công ty khác cũng muốn xây dựng môi trường xã hội tương tác riêng và truy cập đến dữ liệu người dùng, nhưng không có được lợi thế vốn có của một nền tảng tìm kiếm hoặc mạng xã hội phổ biến. Do vậy, một loạt các tiện ích mở rộng, thanh công cụ và ứng dụng đang phát triển. Chúng phần nào bắt chước hành vi của spyware như thu thập thông tin người dùng, thậm chí thay đổi các thiết lập an toàn trên thiết bị của người dùng.

Grayware có thể vẫn thực thi các tác vụ hợp lệ, nhưng bên cạnh đó, ngay trong quá trình này cũng thường thu thập các thông tin mà nó tiếp cận được. Ngoài hành vi thu thập thông tin cơ bản và điển hình như trường hợp Grayware Persian Stalker của ứng dụng nhắn tin Telegram (được phát hiện bởi nhớm nghiên cứu Talos của hãng bảo mật Cisco), Grayware còn thu thập thông tin dưới nhiều hình thức khác.

Một vài Grayware thu thập thông tin công khai thông qua điều khoản ứng dụng bằng cách “bẫy” người dùng đồng ý với hành vi đó. Người dùng có thể lướt qua không đọc một số đoạn trong thỏa thuận bản quyền của ứng dụng trong khi đoạn đó chứa yêu cầu được thu thập dữ liệu. Các Grayware khác có thể theo dõi cookie, sử dụng nhúng pixel theo dõi đơn hoặc tích hợp phần mềm theo dõi thao tác bàn phím (keylogger). Với các ví dụ kể trên, thông tin nhạy cảm bị rò rỉ mà không có sự cho phép.

Grayware gây nhiễu, có thể che giấu mã độc và ứng dụng giả mạo

Mục đích ban đầu của Grayware là phục vụ quảng cáo và thu thập dữ liệu. Việc này yêu cầu trao đổi lưu lượng mạng với một máy chủ C&C bên ngoài tổ chức. Lưu lượng mạng trên cần được thu thập và phân tích, khiến khối lượng dữ liệu được vận chuyển trở nên lớn. Điều này dẫn đến tỷ lệ nhiễu cao nên việc tìm ra lưu lượng độc hại mất thời gian hơn. Cho dù Grayware có thể không thực hiện hành vi nguy hiểm nào, thì sự tồn tại và các hoạt động của chúng khiến mã độc dễ ẩn mình hơn.

Các loại mã độc ngụy trang dưới vỏ bọc Grayware là các Trojan giả mạo phần mềm antivirus, tiện ích trình duyệt,… với tên gọi, miêu tả như một phần mềm hợp lệ. Hầu hết những trường hợp có chứa mã độc trên sẽ bị phần mềm chống mã độc phát hiện, tuy nhiên thói quen cài đặt quá nhiều Grayware sẽ cung cấp môi trường vỏ bọc đủ lâu cho mã độc để xâm nhập và tồn tại trong máy tính của nạn nhân.

Phương pháp giảm thiểu tác hại của Grayware

Người dùng cần chú ý và thực hiện các phương pháp sau để giảm thiểu tác hại mà Grayware có thể đem lại:

- Chỉ thực hiện các hành vi an toàn là cách thức bảo vệ tốt nhất trước Grayware.

- Thận trọng khi cài đặt các phần mềm. Chú ý những đặc điểm đáng ngờ như tiện ích bổ sung miễn phí hoặc hộp thoại kiểm tra trước.

- Suy nghĩ kỹ trước khi tải các ứng dụng. Xem xét các quyền mà ứng dụng đó yêu cầu, lý do cần dữ liệu đó và cách sử dụng chúng. Đọc kỹ chính sách quyền riêng tư của nhà phát triển.

- Chỉ tải các ứng dụng từ những nguồn an toàn, đáng tin cậy.

- Đọc kỹ Thỏa thuận Cấp phép Người dùng cuối (End User Licence Agreements). Không tự động nhấp “Tiếp tục” (Next) , “Tôi đồng ý” (I Agree) hoặc “OK”.

- Cài đặt phần mềm bảo vệ Internet trên đầy đủ các thiết bị như máy tính, điện thoại và máy tính bảng. Cập nhật phần mềm và quét thường xuyên.

- Luôn cập nhật hệ điều hành của thiết bị ngay khi có thông báo.

- Không nhấp chuột vào các quảng cáo pop-up, đường dẫn hoặc tệp đính kèm từ các email hoặc đoạn văn bản lạ.

Như vậy, Grayware có thể ảnh hưởng đến hiệu năng của thiết bị, vi phạm an toàn thông tin và gây phiền toái cho người dùng. Người dùng phải cảnh giác, không được để thiết bị và dữ liệu gặp nguy hại, mà hãy chủ động thực hiện theo các hướng dẫn đã đề cập bên trên để tránh khỏi Grayware, giữ cho các thiết bị hoạt động an toàn, hiệu quả, không có các phần mềm không mong muốn.

Đỗ Đoàn Kết

‹ › ×

Tin liên quan

SamSam: Mã độc tống tiền gần 6 triệu USD

08:00 | 20/09/2018

Một nghiên cứu toàn diện của công ty an ninh mạng Sophos (Anh) đã làm sáng tỏ nhiều thông tin quan trọng về mã độc tống tiền khét tiếng có tên SamSam. Nghiên cứu chỉ ra rằng, thực tế mã độc SamSam đã lây nhiễm tới nhiều nạn nhân hơn mức tưởng tượng và khoản tiền chuộc tin tặc thu được cũng lớn hơn rất nhiều – gần 6 triệu USD.

Cảnh báo mã độc NanoCore tấn công mạng qua email

14:00 | 26/10/2018

Mã độc NanoCore - một dạng mã độc mới vừa được các chuyên gia bảo mật của công ty CP An toàn thông tin CyRadar phát hiện, được tin tặc sử dụng để tiến hành các vụ tấn công mạng trong thời gian gần đây.

Phát hiện hơn 3,2 triệu mã độc Android trong Quý III/2018

10:00 | 29/11/2018

Theo công bố mới đây của hãng G Data (Đức), trong quý III/2018 đã phát hiện hơn 3,2 triệu mã độc trên các thiết bị Android. Số lượng mã độc gia tăng 40% so với cùng kỳ năm 2017.

Tin cùng chuyên mục

Chính phủ Pháp bị tấn công mạng

16:00 | 15/03/2024

Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.

Dự đoán phần mềm tội phạm và các mối đe dọa tài chính vào năm 2024

09:00 | 28/02/2024

Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.

Phân tích phần mềm độc hại mới đánh cắp ví tiền điện tử trong các ứng dụng bẻ khóa trên macOS

14:00 | 22/02/2024

Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.

Lỗ hổng LogoFAIL có thể ảnh hưởng đến phần lớn các máy tính

16:00 | 18/12/2023

Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.