Bilgi hırsızlığına yönelik zararlı yazılım enfeksiyonlarının üçte birinden fazlası, kullanıcıların dosyaları doğrudan tarayıcıların geçici klasörlerinden çalıştırmasıyla başlıyor. Kaspersky Digital Footprint Intelligence (DFI) tarafından gerçekleştirilen yeni bir araştırma, kimlik bilgilerinin çalınmasında kullanıcı davranışlarının hala belirleyici bir rol oynadığını ortaya koydu. Buna karşılık, infostealer saldırılarının yalnızca %32'sinde gelişmiş zararlı yazılım ailelerinde görülen süreç enjeksiyonu (process injection) ve "living off the land" teknikleri tercih ediliyor.
Araştırmacılar, 2025 yılı boyunca karanlık webde tespit edilen 5 milyon infostealer günlük kaydını (log dosyası) analiz etti. Ele geçirilen cihazlardan çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta verileri gibi verileri içeren bu kayıtlar, zararlı dosyaların enfekte sistemlerdeki orijinal konumlarına ilişkin önemli bilgiler sağladı.
Analize göre en yaygın konum, tüm vakaların yaklaşık %35'ini oluşturan Windows geçici dizini (C:\Users\AppData\Local\Temp) oldu. Bu klasör, internetten indirilen dosyaların kullanıcı tarafından kaydedilmeden önce geçici olarak depolandığı alan olarak biliniyor. Bulgular, enfeksiyonların önemli bir bölümünün kullanıcıların indirdikleri dosyaları doğrudan çalıştırması sonucu gerçekleştiğini ve saldırganların çoğu durumda gelişmiş gizlenme tekniklerine ihtiyaç duymadığını gösteriyor.
Sistem süreçleri üzerinden gizlenen tehditler
Vakaların yaklaşık %32'sinden sorumlu olan ikinci en yaygın konum ise C:\Windows\Microsoft.NET\Framework\ dizini olarak öne çıktı. Bu yol, zararlı yazılımların tespit edilmekten kaçınmak amacıyla meşru sistem süreçlerini kötüye kullandığı süreç enjeksiyonu ve "living off the land" teknikleriyle ilişkilendiriliyor. Bu tür davranışlar özellikle Lumma gibi daha gelişmiş infostealer ailelerinde yaygın olarak gözlemleniyor.
Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını gösterdi: Güvenilir olmayan kaynaklardan yazılım indirmek ve yazılımları yasa dışı yöntemlerle etkinleştirmeye çalışmak. Birçok vakada kurbanlar, tehdit aktörlerinin yönlendirmelerini takip ederek zararlı dosyaları çalıştırmadan önce güvenlik yazılımlarını devre dışı bıraktı. Birçok zararlı dosya, meşru yazılım kurulum paketleri, lisans etkinleştiriciler veya oyun modifikasyonları gibi gösterilerek dağıtıldı. Oyun modları hala yaygın bir tuzak yöntemi olmaya devam ederken, saldırganlar aynı teknikleri kullanarak hemen her tür yazılımı yayabiliyor.
Enfeksiyon sayısında büyük artış
Kaspersky Digital Footprint Intelligence Uzmanı Sergey Shcherbel, bilgi hırsızlığına yönelik saldırıların 2025 yılında ciddi bir artış gösterdiğini ve enfeksiyon sayısının bir önceki yıla göre %59 yükseldiğini belirtti. Vakaların önemli bir bölümünde kullanıcı davranışlarının kritik rol oynadığını ifade eden Shcherbel, geçici indirme klasörlerinden çalıştırılan bilgi hırsızlığı örneklerinin yüksek hacminin, kullanıcıların bu dosyaları indirdikten hemen sonra çalıştırdığını gösterdiğini vurguladı. Uzman, birçok durumda saldırganların gelişmiş tekniklere ihtiyacı olmadığını, kullanıcıyı bir dosyayı çalıştırmaya ikna etmelerinin yeterli olduğunu da sözlerine ekledi.
Davranışsal özelliklerin yanı sıra, farklı bilgi hırsızlığı aileleri arasında belirgin adlandırma kalıpları da tespit edildi. Lumma genellikle genel kurulum dosyası isimlerini, .NET tabanlı gizleme tekniklerini ve süreç enjeksiyonunu tercih ediyor. Vidar ise çoğunlukla geleneksel yükleyici bileşenler kullanan Bootstrapper.exe türevleri şeklinde karşımıza çıkıyor. Stealc hem Licence_Version_Loader.exe gibi anlamlı dosya isimlerini hem de rastgele oluşturulmuş adları kullanarak karma bir yaklaşım izliyor. RisePro ise MPGPH.exe ve MSIUpdater.exe gibi tekrar eden adlandırma kalıplarıyla diğerlerinden ayrışıyor.
Alınabilecek önlemler ve korunma yöntemleri
Infostealer enfeksiyonu riskini azaltmak için kurumlara ve bireysel kullanıcılara bazı temel adımlar öneriliyor. Kurumsal düzeyde, kuruluşların dijital varlıklarını izleyen ve yüzey web, derin web ile karanlık web genelindeki tehditleri tespit eden Kaspersky Digital Footprint Intelligence gibi siber risk koruma çözümlerinin kullanılması önem arz ediyor. Bilgi güvenliği ekiplerine kuruluşları hedef alan tehditlere karşı derinlemesine görünürlük sağlayan Kaspersky Threat Intelligence çözümleri de olay yönetimi döngüsünde risklerin zamanında tespit edilmesine katkı sunuyor.
Bireysel kullanıcılar için ise şu adımların izlenmesi öneriliyor:
- Yazılımları yalnızca resmi ve güvenilir kaynaklardan indirin; korsan yazılımlar, kırılmış sürümler (crack), lisans etkinleştiriciler ve resmi olmayan yükleyicilerden kaçının.
- Bilgisayar ve mobil cihazlarda Kaspersky Premium gibi bir güvenlik çözümü kullanın. Bu tür yazılımlar olası tehditler konusunda uyarı sağlar ve cihazların enfekte olmasını önlemeye yardımcı olur.
- Hassas verilerinizi güvenli şekilde yönetin. Parolaları veya kurtarma anahtarlarını fotoğraf galerilerinde ya da not uygulamalarında saklamak yerine, Kaspersky Password Manager gibi bir parola yöneticisi tercih edin.
- Herhangi bir yazılım yüklemek için antivirüs veya güvenlik araçlarını devre dışı bırakmayın. Oyun modları, hile yazılımları ve üçüncü taraf yardımcı araçları indirirken ekstra dikkatli olun.
- İşletim sistemlerinizi ve uygulamalarınızı güncel tutun, güçlü ve benzersiz parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı etkinleştirin.