Kaspersky Digital Footprint Intelligence (DFI) tarafından gerçekleştirilen yeni bir araştırma, bilgi hırsızlığına yönelik ziyanlı yazılım enfeksiyonlarının üçte birinden fazlasının kullanıcıların evrakları direkt tarayıcıların süreksiz klasörlerinden çalıştırmasıyla başladığını ortaya koydu. Bulgular, kimlik bilgilerinin çalınmasında kullanıcı davranışlarının hâlâ belirleyici bir rol oynadığını gösteriyor. Buna karşılık, infostealer hücumlarının sadece %32’sinde gelişmiş ziyanlı yazılım ailelerinde görülen süreç enjeksiyonu (process injection) ve “living off the land” teknikleri kullanılıyor.
Kaspersky Digital Footprint Intelligence araştırmacıları, 2025 yılı boyunca karanlık webde tespit edilen 5 milyon infostealer günlük kaydını (log dosyası) tahlil etti. Ele geçirilen aygıtlardan çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta bilgileri üzere dataları içeren bu kayıtlar, ziyanlı belgelerin enfekte sistemlerdeki yepyeni pozisyonlarına ait değerli bilgiler de sağladı.
Analize nazaran en yaygın pozisyon, tüm olayların yaklaşık %35’ini oluşturan Windows süreksiz dizini (C:UsersAppDataLocalTemp) oldu. Bu klasör, internetten indirilen evrakların kullanıcı tarafından kaydedilmeden evvel süreksiz olarak depolandığı alan olarak biliniyor. Bulgular, enfeksiyonların kıymetli bir kısmının kullanıcıların indirdikleri belgeleri direkt çalıştırması sonucu gerçekleştiğini ve saldırganların birden fazla durumda gelişmiş gizlenme tekniklerine gereksinim duymadığını gösteriyor.
Vakaların yaklaşık %32’sinden sorumlu olan ikinci en yaygın pozisyon ise C:WindowsMicrosoft.NETFramework dizini olarak öne çıktı. Bu yol, ziyanlı yazılımların tespit edilmekten kaçınmak hedefiyle legal sistem süreçlerini berbata kullandığı süreç enjeksiyonu ve “living off the land” teknikleriyle ilişkilendiriliyor. Bu çeşit davranışlar bilhassa Lumma üzere daha gelişmiş infostealer ailelerinde yaygın olarak gözlemleniyor.
Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını ortaya koyuyor: Emniyetli olmayan kaynaklardan yazılım indirmek ve yazılımları yasa dışı yollarla etkinleştirmeye çalışmak. Bir çok hadisede kurbanların, tehdit aktörlerinin yönlendirmelerini takip ederek ziyanlı evrakları çalıştırmadan evvel güvenlik yazılımlarını devre dışı bıraktığı görüldü. Araştırmaya nazaran birçok ziyanlı evrak, yasal yazılım heyetim paketleri, lisans etkinleştiriciler yahut oyun modifikasyonları üzere gösterilerek dağıtıldı. Oyun modları hâlâ yaygın bir tuzak prosedürü olmaya devam ederken, saldırganlar tıpkı teknikleri kullanarak çabucak her çeşit yazılımı dağıtabiliyor.
Kaspersky Digital Footprint Intelligence Uzmanı Sergey Shcherbel, bahisle ilgili şunları söyledi: “Bilgi hırsızlığına yönelik saldırılar 2025 yılında önemli bir artış gösterdi ve enfeksiyon sayısı bir evvelki yıla nazaran %59 yükseldi. Tahlilimiz, bu hadiselerin kıymetli bir kısmında kullanıcı davranışlarının kritik rol oynadığını ortaya koyuyor. Süreksiz indirme klasörlerinden çalıştırılan bilgi hırlsızlığı örneklerinin yüksek hacmi, kullanıcıların bu evrakları indirdikten çabucak sonra çalıştırdığını gösteriyor. Birçok durumda saldırganların gelişmiş tekniklere muhtaçlığı yok; kullanıcıyı bir belgeyi çalıştırmaya ikna etmeleri kâfi oluyor.”
Davranışsal özelliklerin yanı sıra, farklı bilgi hırsızlığı aileleri ortasında besbelli isimlendirme kalıpları da tespit edildi. Lumma çoklukla genel heyetim belgesi isimlerini, .NET tabanlı gizleme tekniklerini ve süreç enjeksiyonunu tercih ediyor. Vidar ise çoğunlukla klasik yükleyici bileşenler (loader) kullanan Bootstrapper.exe türevleri formunda karşımıza çıkıyor. Stealc hem Licence_Version_Loader.exe üzere manalı evrak isimlerini hem de rastgele oluşturulmuş isimleri kullanarak karma bir yaklaşım izliyor. RisePro ise MPGPH.exe ve MSIUpdater.exe üzere tekrar eden isimlendirme kalıplarıyla başkalarından ayrışıyor.
Raporun tamamına buradan ulaşabilirsiniz.
Infostealer enfeksiyonu riskini azaltmak için Kaspersky, kurumlara şu tekliflerde bulunuyor:
- Kuruluşların dijital varlıklarını izleyen ve yüzey web, derin web ile karanlık web genelindeki tehditleri tespit eden Kaspersky Digital Footprint Intelligence gibi kapsamlı bir dijital risk müdafaa tahlili kullanın.
- Bilgi güvenliği takımlarınıza kuruluşunuzu amaç alan siber tehditlere ait derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence çözümleri, olay idaresi döngüsünün tamamında güçlü ve manalı bağlam sunarak siber risklerin vaktinde tespit edilmesine yardımcı olur.
Kaspersky, kişisel kullanıcılar için ise şu adımları izlemesi öneriliyor:
- Yazılımları sadece resmi ve sağlam kaynaklardan indirin; korsan yazılımlar, kırılmış sürümler (crack), lisans etkinleştiriciler ve resmi olmayan yükleyicilerden kaçının.
- Tüm bilgisayar ve taşınabilir cihazlarda Kaspersky Premium gibi güçlü bir güvenlik tahlili kullanın. Bu cins tahliller muhtemel tehditler konusunda sizi uyarır ve aygıtlarınızın ziyanlı yazılımlarla enfekte olmasını önlemeye yardımcı olur.
- Hassas datalarınızı inançlı halde yönetin. Parolaları yahut kurtarma anahtarlarını fotoğraf galerilerinde ya da not uygulamalarında saklamak yerine, Kaspersky Password Manager gibi sağlam bir parola yöneticisi kullanın.
- Herhangi bir yazılım yüklemek için antivirüs yahut güvenlik araçlarını devre dışı bırakmayın. Oyun modları, hile yazılımları ve üçüncü taraf yardımcı araçları indirirken ekstra dikkatli olun.
- İşletim sistemlerinizi ve uygulamalarınızı aktüel tutun, güçlü ve eşsiz parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı etkinleştirin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
