Kaspersky Digital Footprint Intelligence (DFI) tarafından gerçekleştirilen yeni bir araştırma, bilgi hırsızlığına yönelik ziyanlı yazılım enfeksiyonlarının üçte birinden fazlasının kullanıcıların belgeleri direkt tarayıcıların süreksiz klasörlerinden çalıştırmasıyla başladığını ortaya koydu. Bulgular, kimlik bilgilerinin çalınmasında kullanıcı davranışlarının hâlâ belirleyici bir rol oynadığını gösteriyor. Buna karşılık, infostealer akınlarının sadece %32’sinde gelişmiş ziyanlı yazılım ailelerinde görülen süreç enjeksiyonu (process injection) ve “living off the land” teknikleri kullanılıyor.
Kaspersky Digital Footprint Intelligence araştırmacıları, 2025 yılı boyunca karanlık webde tespit edilen 5 milyon infostealer günlük kaydını (log dosyası) tahlil etti. Ele geçirilen aygıtlardan çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta dataları üzere bilgileri içeren bu kayıtlar, ziyanlı belgelerin enfekte sistemlerdeki özgün pozisyonlarına ait değerli bilgiler de sağladı.
Analize nazaran en yaygın pozisyon, tüm olayların yaklaşık %35’ini oluşturan Windows süreksiz dizini (C:UsersAppDataLocalTemp) oldu. Bu klasör, internetten indirilen evrakların kullanıcı tarafından kaydedilmeden evvel süreksiz olarak depolandığı alan olarak biliniyor. Bulgular, enfeksiyonların kıymetli bir kısmının kullanıcıların indirdikleri evrakları direkt çalıştırması sonucu gerçekleştiğini ve saldırganların birden fazla durumda gelişmiş gizlenme tekniklerine muhtaçlık duymadığını gösteriyor.
Vakaların yaklaşık %32’sinden sorumlu olan ikinci en yaygın pozisyon ise C:WindowsMicrosoft.NETFramework dizini olarak öne çıktı. Bu yol, ziyanlı yazılımların tespit edilmekten kaçınmak emeliyle yasal sistem süreçlerini berbata kullandığı süreç enjeksiyonu ve “living off the land” teknikleriyle ilişkilendiriliyor. Bu cins davranışlar bilhassa Lumma üzere daha gelişmiş infostealer ailelerinde yaygın olarak gözlemleniyor.
Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını ortaya koyuyor: Sağlam olmayan kaynaklardan yazılım indirmek ve yazılımları yasa dışı sistemlerle etkinleştirmeye çalışmak. Bir çok hadisede kurbanların, tehdit aktörlerinin yönlendirmelerini takip ederek ziyanlı belgeleri çalıştırmadan evvel güvenlik yazılımlarını devre dışı bıraktığı görüldü. Araştırmaya nazaran birçok ziyanlı belge, legal yazılım suram paketleri, lisans etkinleştiriciler yahut oyun modifikasyonları üzere gösterilerek dağıtıldı. Oyun modları hâlâ yaygın bir tuzak sistemi olmaya devam ederken, saldırganlar tıpkı teknikleri kullanarak çabucak her çeşit yazılımı dağıtabiliyor.
Kaspersky Digital Footprint Intelligence Uzmanı Sergey Shcherbel, hususla ilgili şunları söyledi: “Bilgi hırsızlığına yönelik saldırılar 2025 yılında önemli bir artış gösterdi ve enfeksiyon sayısı bir evvelki yıla nazaran %59 yükseldi. Tahlilimiz, bu hadiselerin kıymetli bir kısmında kullanıcı davranışlarının kritik rol oynadığını ortaya koyuyor. Süreksiz indirme klasörlerinden çalıştırılan bilgi hırlsızlığı örneklerinin yüksek hacmi, kullanıcıların bu evrakları indirdikten çabucak sonra çalıştırdığını gösteriyor. Birçok durumda saldırganların gelişmiş tekniklere muhtaçlığı yok; kullanıcıyı bir belgeyi çalıştırmaya ikna etmeleri kâfi oluyor.”
Davranışsal özelliklerin yanı sıra, farklı bilgi hırsızlığı aileleri ortasında bariz isimlendirme kalıpları da tespit edildi. Lumma ekseriyetle genel heyetim belgesi isimlerini, .NET tabanlı gizleme tekniklerini ve süreç enjeksiyonunu tercih ediyor. Vidar ise çoğunlukla klâsik yükleyici bileşenler (loader) kullanan Bootstrapper.exe türevleri formunda karşımıza çıkıyor. Stealc hem Licence_Version_Loader.exe üzere manalı belge isimlerini hem de rastgele oluşturulmuş isimleri kullanarak karma bir yaklaşım izliyor. RisePro ise MPGPH.exe ve MSIUpdater.exe üzere tekrar eden isimlendirme kalıplarıyla başkalarından ayrışıyor.
Raporun tamamına buradan ulaşabilirsiniz.
Infostealer enfeksiyonu riskini azaltmak için Kaspersky, kurumlara şu tekliflerde bulunuyor:
- Kuruluşların dijital varlıklarını izleyen ve yüzey web, derin web ile karanlık web genelindeki tehditleri tespit eden Kaspersky Digital Footprint Intelligence gibi kapsamlı bir dijital risk muhafaza tahlili kullanın.
- Bilgi güvenliği takımlarınıza kuruluşunuzu maksat alan siber tehditlere ait derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence çözümleri, olay idaresi döngüsünün tamamında varlıklı ve manalı bağlam sunarak siber risklerin vaktinde tespit edilmesine yardımcı olur.
Kaspersky, kişisel kullanıcılar için ise şu adımları izlemesi öneriliyor:
- Yazılımları sırf resmi ve emniyetli kaynaklardan indirin; korsan yazılımlar, kırılmış sürümler (crack), lisans etkinleştiriciler ve resmi olmayan yükleyicilerden kaçının.
- Tüm bilgisayar ve taşınabilir cihazlarda Kaspersky Premium gibi güçlü bir güvenlik tahlili kullanın. Bu çeşit tahliller mümkün tehditler konusunda sizi uyarır ve aygıtlarınızın ziyanlı yazılımlarla enfekte olmasını önlemeye yardımcı olur.
- Hassas bilgilerinizi inançlı halde yönetin. Parolaları yahut kurtarma anahtarlarını fotoğraf galerilerinde ya da not uygulamalarında saklamak yerine, Kaspersky Password Manager gibi muteber bir parola yöneticisi kullanın.
- Herhangi bir yazılım yüklemek için antivirüs yahut güvenlik araçlarını devre dışı bırakmayın. Oyun modları, hile yazılımları ve üçüncü taraf yardımcı araçları indirirken ekstra dikkatli olun.
- İşletim sistemlerinizi ve uygulamalarınızı aktüel tutun, güçlü ve eşsiz parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı aktifleştirin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
Kaynak: Beyaz Haber Ajansı

