Grayware và phương pháp giảm thiểu tác hại của Grayware

08:00 | 10/04/2019 | HACKER / MALWARE

Mặc dù Grayware (phần mềm xám) đang là một trong những vấn đề phổ biến nhất trong lĩnh vực an ninh mạng, nhưng khái niệm về Grayware vẫn còn tương đối mới mẻ. Vậy Grayware là gì, tại sao trở thành một vấn đề đáng lưu tâm và cần phải đối phó như thế nào? Bài viết cung cấp các thông tin cơ bản, cần thiết về Grayware và hướng dẫn người dùng cách bảo vệ trước Grayware.

Grayware và phương pháp giảm thiểu tác hại của Grayware

Khái niệm về Grayware

Đúng như tên gọi của nó, Grayware là một loại phần mềm nằm trong “vùng xám”. Tên của Grayware bắt nguồn từ bản chất của chúng: các phần mềm được đưa vào “vùng xám”, tức giữa phần mềm độc hại (malware) và phần mềm hợp lệ thông thường (software).

Grayware là chương trình không mong muốn tiềm tàng, bởi không phải là mã độc, không được phân loại là virus, nhưng vẫn có thể gây khó chịu và thậm chí là có hại. Nó bao gồm các tệp hoặc ứng dụng có thể thực hiện các hành vi không mong muốn, chẳng hạn như theo dõi hành vi trực tuyến của người dùng hoặc gửi cho người dùng một loạt cửa sổ pop-up. Phần mềm xám có thể gây phiền nhiễu, nhưng quan trọng hơn là nó làm giảm hiệu năng của máy tính hoặc thiết bị di động của người dùng, khiến người dùng gặp rủi ro về an toàn thông tin.

Có 02 loại Grayware phổ biến nhất hiện nay là adware (phần mềm quảng cáo) và spyware (phần mềm gián điệp).

Mục đích chính của adware là kiếm tiền thông qua quảng cáo, nhắm mục tiêu đến người dùng máy tính hoặc thiết bị di động. Chúng có thể có hoặc không thu thập dữ liệu cá nhân người dùng và gửi tới bên thứ ba. Adware thường gây phiền nhiễu và làm giảm hiệu năng của máy tính.

Mục đích chính của spyware là theo dõi và ghi chép hành vi trực tuyến của người dùng, sau đó gửi thông tin này cho bên thứ ba, thường với mục tiêu bán hàng. Thông tin người dùng có thể bao gồm các thông tin bí mật về tài chính, cá nhân như tên đăng nhập và mật khẩu các tài khoản, thẻ tín dụng. Thông thường, spyware sẽ không công khai yêu cầu người dùng cho phép cài đặt các thành phần thu thập dữ liệu người dùng, các thiết bị và sử dụng các dữ liệu này. Thay vào đó, chúng ẩn mình và hoạt động ngầm để tránh bị phát hiện.

Phần mềm quảng cáo và phần mềm gián điệp có thể được cài đặt cùng nhau và kết hợp với nhau. Phần mềm gián điệp theo dõi và thu thập thông tin về hành vi trực tuyến của người dùng, tạo hồ sơ, trong khi phần mềm quảng cáo sử dụng thông tin đó để hiển thị quảng cáo.

Ảnh hưởng của Grayware tới người dùng

Grayware có thể thu thập thông tin nhạy cảm

Dữ liệu người dùng là tài sản có giá trị rất lớn trên Internet. Lưu ý, những gã khổng lồ Internet như Google hoặc Facebook chủ yếu kiếm lợi nhuận từ việc bán quảng cáo. Họ giành được sự phổ biến đối với đa số người dùng Internet, nên có thể yêu cầu phí cho việc tham gia vào nguồn tài nguyên quảng cáo đó. Vấn đề về quyền riêng tư và an toàn đối với những nền tảng này đã được quan tâm và sẽ còn được tiếp tục chú ý. Tuy nhiên, vấn đề này trở nên phức tạp hơn khi các công ty khác cũng muốn xây dựng môi trường xã hội tương tác riêng và truy cập đến dữ liệu người dùng, nhưng không có được lợi thế vốn có của một nền tảng tìm kiếm hoặc mạng xã hội phổ biến. Do vậy, một loạt các tiện ích mở rộng, thanh công cụ và ứng dụng đang phát triển. Chúng phần nào bắt chước hành vi của spyware như thu thập thông tin người dùng, thậm chí thay đổi các thiết lập an toàn trên thiết bị của người dùng.

Grayware có thể vẫn thực thi các tác vụ hợp lệ, nhưng bên cạnh đó, ngay trong quá trình này cũng thường thu thập các thông tin mà nó tiếp cận được. Ngoài hành vi thu thập thông tin cơ bản và điển hình như trường hợp Grayware Persian Stalker của ứng dụng nhắn tin Telegram (được phát hiện bởi nhớm nghiên cứu Talos của hãng bảo mật Cisco), Grayware còn thu thập thông tin dưới nhiều hình thức khác.

Một vài Grayware thu thập thông tin công khai thông qua điều khoản ứng dụng bằng cách “bẫy” người dùng đồng ý với hành vi đó. Người dùng có thể lướt qua không đọc một số đoạn trong thỏa thuận bản quyền của ứng dụng trong khi đoạn đó chứa yêu cầu được thu thập dữ liệu. Các Grayware khác có thể theo dõi cookie, sử dụng nhúng pixel theo dõi đơn hoặc tích hợp phần mềm theo dõi thao tác bàn phím (keylogger). Với các ví dụ kể trên, thông tin nhạy cảm bị rò rỉ mà không có sự cho phép.

Grayware gây nhiễu, có thể che giấu mã độc và ứng dụng giả mạo

Mục đích ban đầu của Grayware là phục vụ quảng cáo và thu thập dữ liệu. Việc này yêu cầu trao đổi lưu lượng mạng với một máy chủ C&C bên ngoài tổ chức. Lưu lượng mạng trên cần được thu thập và phân tích, khiến khối lượng dữ liệu được vận chuyển trở nên lớn. Điều này dẫn đến tỷ lệ nhiễu cao nên việc tìm ra lưu lượng độc hại mất thời gian hơn. Cho dù Grayware có thể không thực hiện hành vi nguy hiểm nào, thì sự tồn tại và các hoạt động của chúng khiến mã độc dễ ẩn mình hơn.

Các loại mã độc ngụy trang dưới vỏ bọc Grayware là các Trojan giả mạo phần mềm antivirus, tiện ích trình duyệt,… với tên gọi, miêu tả như một phần mềm hợp lệ. Hầu hết những trường hợp có chứa mã độc trên sẽ bị phần mềm chống mã độc phát hiện, tuy nhiên thói quen cài đặt quá nhiều Grayware sẽ cung cấp môi trường vỏ bọc đủ lâu cho mã độc để xâm nhập và tồn tại trong máy tính của nạn nhân.

Phương pháp giảm thiểu tác hại của Grayware

Người dùng cần chú ý và thực hiện các phương pháp sau để giảm thiểu tác hại mà Grayware có thể đem lại:

- Chỉ thực hiện các hành vi an toàn là cách thức bảo vệ tốt nhất trước Grayware.

- Thận trọng khi cài đặt các phần mềm. Chú ý những đặc điểm đáng ngờ như tiện ích bổ sung miễn phí hoặc hộp thoại kiểm tra trước.

- Suy nghĩ kỹ trước khi tải các ứng dụng. Xem xét các quyền mà ứng dụng đó yêu cầu, lý do cần dữ liệu đó và cách sử dụng chúng. Đọc kỹ chính sách quyền riêng tư của nhà phát triển.

- Chỉ tải các ứng dụng từ những nguồn an toàn, đáng tin cậy.

- Đọc kỹ Thỏa thuận Cấp phép Người dùng cuối (End User Licence Agreements). Không tự động nhấp “Tiếp tục” (Next) , “Tôi đồng ý” (I Agree) hoặc “OK”.

- Cài đặt phần mềm bảo vệ Internet trên đầy đủ các thiết bị như máy tính, điện thoại và máy tính bảng. Cập nhật phần mềm và quét thường xuyên.

- Luôn cập nhật hệ điều hành của thiết bị ngay khi có thông báo.

- Không nhấp chuột vào các quảng cáo pop-up, đường dẫn hoặc tệp đính kèm từ các email hoặc đoạn văn bản lạ.

Như vậy, Grayware có thể ảnh hưởng đến hiệu năng của thiết bị, vi phạm an toàn thông tin và gây phiền toái cho người dùng. Người dùng phải cảnh giác, không được để thiết bị và dữ liệu gặp nguy hại, mà hãy chủ động thực hiện theo các hướng dẫn đã đề cập bên trên để tránh khỏi Grayware, giữ cho các thiết bị hoạt động an toàn, hiệu quả, không có các phần mềm không mong muốn.

Đỗ Đoàn Kết

‹ › ×

Tin liên quan

SamSam: Mã độc tống tiền gần 6 triệu USD

08:00 | 20/09/2018

Một nghiên cứu toàn diện của công ty an ninh mạng Sophos (Anh) đã làm sáng tỏ nhiều thông tin quan trọng về mã độc tống tiền khét tiếng có tên SamSam. Nghiên cứu chỉ ra rằng, thực tế mã độc SamSam đã lây nhiễm tới nhiều nạn nhân hơn mức tưởng tượng và khoản tiền chuộc tin tặc thu được cũng lớn hơn rất nhiều – gần 6 triệu USD.

Cảnh báo mã độc NanoCore tấn công mạng qua email

14:00 | 26/10/2018

Mã độc NanoCore - một dạng mã độc mới vừa được các chuyên gia bảo mật của công ty CP An toàn thông tin CyRadar phát hiện, được tin tặc sử dụng để tiến hành các vụ tấn công mạng trong thời gian gần đây.

Phát hiện hơn 3,2 triệu mã độc Android trong Quý III/2018

10:00 | 29/11/2018

Theo công bố mới đây của hãng G Data (Đức), trong quý III/2018 đã phát hiện hơn 3,2 triệu mã độc trên các thiết bị Android. Số lượng mã độc gia tăng 40% so với cùng kỳ năm 2017.

Tin cùng chuyên mục

Lỗ hổng chèn lệnh BatBadBut ảnh hưởng đến nhiều ngôn ngữ lập trình

09:00 | 03/05/2024

Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.

Tin tặc có thể sử dụng AI tạo sinh để thao túng các cuộc trò chuyện trực tiếp

09:00 | 09/04/2024

Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.

Phát hiện lỗ hổng nghiêm trọng trong GitLab khi tạo workspace cho phép ghi đè tệp

08:00 | 06/02/2024

GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.