Kaspersky Digital Footprint Intelligence (DFI) tarafından yapılan yeni bir araştırma, bilgi hırsızlığına yönelik zararlı yazılım enfeksiyonlarının %35’inden fazlasının kullanıcıların tarayıcı geçici klasörlerinden indirdikleri dosyaları doğrudan çalıştırmasıyla başladığını ortaya koydu. Bu bulgu, siber güvenlik alanında kullanıcı davranışlarının ne kadar kritik bir rol oynadığını bir kez daha gözler önüne seriyor.
Analiz: 5 Milyon Kayıt İncelendi
Araştırmacılar, 2025 yılı boyunca karanlık webde tespit edilen 5 milyon infostealer günlük kaydını (log dosyası) analiz etti. Bu kayıtlar, çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta verilerinin yanı sıra, zararlı dosyaların enfekte sistemlerdeki orijinal konumlarına dair önemli ipuçları da içeriyordu. En yaygın konum, tüm vakaların yaklaşık %35’ini oluşturan Windows geçici dizini (C:UsersAppDataLocalTemp) olarak belirlendi. Bu klasör, internetten indirilen dosyaların kullanıcı tarafından kaydedilmeden önce geçici olarak depolandığı alan olarak biliniyor.
İkinci en yaygın konum ise C:WindowsMicrosoft.NETFramework dizini oldu ve vakaların yaklaşık %32’sinden sorumlu. Bu yol, zararlı yazılımların tespit edilmekten kaçınmak için meşru sistem süreçlerini kötüye kullandığı süreç enjeksiyonu ve “living off the land” teknikleriyle ilişkilendiriliyor. Bu tür davranışlar özellikle Lumma gibi daha gelişmiş infostealer ailelerinde yaygın olarak gözlemleniyor.
Kullanıcı Davranışları: En Büyük Risk Faktörü
Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını ortaya koyuyor: Güvenilir olmayan kaynaklardan yazılım indirmek ve yazılımları yasa dışı yöntemlerle etkinleştirmeye çalışmak. Birçok vakada kurbanların, tehdit aktörlerinin yönlendirmelerini takip ederek zararlı dosyaları çalıştırmadan önce güvenlik yazılımlarını devre dışı bıraktığı görüldü. Zararlı dosyalar genellikle meşru yazılım kurulum paketleri, lisans etkinleştiriciler veya oyun modifikasyonları gibi gösterilerek dağıtıldı. Oyun modları hâlâ yaygın bir tuzak yöntemi olmaya devam ederken, saldırganlar aynı teknikleri kullanarak hemen her tür yazılımı dağıtabiliyor.
Kaspersky Digital Footprint Intelligence Uzmanı Sergey Shcherbel, konuyla ilgili şunları söyledi:
“Bilgi hırsızlığına yönelik saldırılar 2025 yılında ciddi bir artış gösterdi ve enfeksiyon sayısı bir önceki yıla göre %59 yükseldi. Analizimiz, bu vakaların önemli bir bölümünde kullanıcı davranışlarının kritik rol oynadığını ortaya koyuyor. Geçici indirme klasörlerinden çalıştırılan bilgi hırsızlığı örneklerinin yüksek hacmi, kullanıcıların bu dosyaları indirdikten hemen sonra çalıştırdığını gösteriyor. Birçok durumda saldırganların gelişmiş tekniklere ihtiyacı yok; kullanıcıyı bir dosyayı çalıştırmaya ikna etmeleri yeterli oluyor.”
Farklı Zararlı Yazılım Aileleri Arasındaki Adlandırma Kalıpları
Davranışsal özelliklerin yanı sıra, farklı bilgi hırsızlığı aileleri arasında belirgin adlandırma kalıpları da tespit edildi. Lumma genellikle genel kurulum dosyası isimlerini, .NET tabanlı gizleme tekniklerini ve süreç enjeksiyonunu tercih ediyor. Vidar ise çoğunlukla geleneksel yükleyici bileşenler kullanan Bootstrapper.exe türevleri şeklinde karşımıza çıkıyor. Stealc hem Licence_Version_Loader.exe gibi anlamlı dosya isimlerini hem de rastgele oluşturulmuş adları kullanarak karma bir yaklaşım izliyor. RisePro ise MPGPH.exe ve MSIUpdater.exe gibi tekrar eden adlandırma kalıplarıyla diğerlerinden ayrışıyor.
Korunma Önerileri
Kaspersky, infostealer enfeksiyonu riskini azaltmak için kurumlara Kaspersky Digital Footprint Intelligence gibi kapsamlı bir dijital risk koruma çözümü kullanmalarını ve bilgi güvenliği ekiplerine Kaspersky Threat Intelligence çözümleriyle derinlemesine görünürlük sağlamalarını öneriyor. Bireysel kullanıcılar için ise şu adımlar öne çıkıyor: Yazılımları yalnızca resmi kaynaklardan indirin, korsan yazılımlardan kaçının, güçlü bir güvenlik çözümü kullanın, hassas verileri güvenli bir parola yöneticisinde saklayın, antivirüsü devre dışı bırakmayın ve sistemleri güncel tutun.
Kaynak: Beyaz Haber Ajansı