Kaspersky Digital Footprint Intelligence (DFI) tarafından gerçekleştirilen yeni bir araştırma, bilgi hırsızlığına yönelik zararlı yazılım enfeksiyonlarının üçte birinden fazlasının kullanıcıların dosyaları doğrudan tarayıcıların geçici klasörlerinden çalıştırmasıyla başladığını ortaya koydu. Bulgular, kimlik bilgilerinin çalınmasında kullanıcı davranışlarının hâlâ belirleyici bir rol oynadığını gösteriyor. Buna karşılık, infostealer saldırılarının yalnızca %32’sinde gelişmiş zararlı yazılım ailelerinde görülen süreç enjeksiyonu (process injection) ve “living off the land” teknikleri kullanılıyor.
Kaspersky Digital Footprint Intelligence araştırmacıları, 2025 yılı boyunca karanlık webde tespit edilen 5 milyon infostealer günlük kaydını (log dosyası) analiz etti. Ele geçirilen cihazlardan çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta verileri gibi verileri içeren bu kayıtlar, zararlı dosyaların enfekte sistemlerdeki orijinal konumlarına ilişkin önemli bilgiler de sağladı.
Analize göre en yaygın konum, tüm vakaların yaklaşık %35’ini oluşturan Windows geçici dizini (C:UsersAppDataLocalTemp) oldu. Bu klasör, internetten indirilen dosyaların kullanıcı tarafından kaydedilmeden önce geçici olarak depolandığı alan olarak biliniyor. Bulgular, enfeksiyonların önemli bir bölümünün kullanıcıların indirdikleri dosyaları doğrudan çalıştırması sonucu gerçekleştiğini ve saldırganların çoğu durumda gelişmiş gizlenme tekniklerine ihtiyaç duymadığını gösteriyor.
Vakaların yaklaşık %32’sinden sorumlu olan ikinci en yaygın konum ise C:WindowsMicrosoft.NETFramework dizini olarak öne çıktı. Bu yol, zararlı yazılımların tespit edilmekten kaçınmak amacıyla meşru sistem süreçlerini kötüye kullandığı süreç enjeksiyonu ve “living off the land” teknikleriyle ilişkilendiriliyor. Bu tür davranışlar özellikle Lumma gibi daha gelişmiş infostealer ailelerinde yaygın olarak gözlemleniyor.
Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını ortaya koyuyor: Güvenilir olmayan kaynaklardan yazılım indirmek ve yazılımları yasa dışı yöntemlerle etkinleştirmeye çalışmak. Bir çok vakada kurbanların, tehdit aktörlerinin yönlendirmelerini takip ederek zararlı dosyaları çalıştırmadan önce güvenlik yazılımlarını devre dışı bıraktığı görüldü. Araştırmaya göre birçok zararlı dosya, meşru yazılım kurulum paketleri, lisans etkinleştiriciler veya oyun modifikasyonları gibi gösterilerek dağıtıldı. Oyun modları hâlâ yaygın bir tuzak yöntemi olmaya devam ederken, saldırganlar aynı teknikleri kullanarak hemen her tür yazılımı dağıtabiliyor.
Kaspersky Digital Footprint Intelligence Uzmanı Sergey Shcherbel, konuyla ilgili şunları söyledi: “Bilgi hırsızlığına yönelik saldırılar 2025 yılında ciddi bir artış gösterdi ve enfeksiyon sayısı bir önceki yıla göre %59 yükseldi. Analizimiz, bu vakaların önemli bir bölümünde kullanıcı davranışlarının kritik rol oynadığını ortaya koyuyor. Geçici indirme klasörlerinden çalıştırılan bilgi hırlsızlığı örneklerinin yüksek hacmi, kullanıcıların bu dosyaları indirdikten hemen sonra çalıştırdığını gösteriyor. Birçok durumda saldırganların gelişmiş tekniklere ihtiyacı yok; kullanıcıyı bir dosyayı çalıştırmaya ikna etmeleri yeterli oluyor.”
Davranışsal özelliklerin yanı sıra, farklı bilgi hırsızlığı aileleri arasında belirgin adlandırma kalıpları da tespit edildi. Lumma genellikle genel kurulum dosyası isimlerini, .NET tabanlı gizleme tekniklerini ve süreç enjeksiyonunu tercih ediyor. Vidar ise çoğunlukla geleneksel yükleyici bileşenler (loader) kullanan Bootstrapper.exe türevleri şeklinde karşımıza çıkıyor. Stealc hem Licence_Version_Loader.exe gibi anlamlı dosya isimlerini hem de rastgele oluşturulmuş adları kullanarak karma bir yaklaşım izliyor. RisePro ise MPGPH.exe ve MSIUpdater.exe gibi tekrar eden adlandırma kalıplarıyla diğerlerinden ayrışıyor.
Raporun tamamına buradan ulaşabilirsiniz.
Infostealer enfeksiyonu riskini azaltmak için Kaspersky, kurumlara şu önerilerde bulunuyor:
- Kuruluşların dijital varlıklarını izleyen ve yüzey web, derin web ile karanlık web genelindeki tehditleri tespit eden Kaspersky Digital Footprint Intelligence gibi kapsamlı bir dijital risk koruma çözümü kullanın.
- Bilgi güvenliği ekiplerinize kuruluşunuzu hedef alan siber tehditlere ilişkin derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence çözümleri, olay yönetimi döngüsünün tamamında zengin ve anlamlı bağlam sunarak siber risklerin zamanında tespit edilmesine yardımcı olur.
Kaspersky, bireysel kullanıcılar için ise şu adımları izlemesi öneriliyor:
- Yazılımları yalnızca resmi ve güvenilir kaynaklardan indirin; korsan yazılımlar, kırılmış sürümler (crack), lisans etkinleştiriciler ve resmi olmayan yükleyicilerden kaçının.
- Tüm bilgisayar ve mobil cihazlarda Kaspersky Premium gibi güçlü bir güvenlik çözümü kullanın. Bu tür çözümler olası tehditler konusunda sizi uyarır ve cihazlarınızın zararlı yazılımlarla enfekte olmasını önlemeye yardımcı olur.
- Hassas verilerinizi güvenli şekilde yönetin. Parolaları veya kurtarma anahtarlarını fotoğraf galerilerinde ya da not uygulamalarında saklamak yerine, Kaspersky Password Manager gibi güvenilir bir parola yöneticisi kullanın.
- Herhangi bir yazılım yüklemek için antivirüs veya güvenlik araçlarını devre dışı bırakmayın. Oyun modları, hile yazılımları ve üçüncü taraf yardımcı araçları indirirken ekstra dikkatli olun.
- İşletim sistemlerinizi ve uygulamalarınızı güncel tutun, güçlü ve benzersiz parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı etkinleştirin.
