Kaspersky, 2025 yılı boyunca "dark web"de (karanlık ağ) tespit edilen 5 milyon "infostealer günlük kaydı"nı (log dosyası) analiz ettiği araştırma sonucunu yayımladı.
Şirketten yapılan açıklamaya göre, Kaspersky Digital Footprint Intelligence araştırmacıları tarafından gerçekleştirilen analiz, bilgi hırsızlığına yönelik zararlı yazılım enfeksiyonlarının 3'te 1'inden fazlasının kullanıcıların dosyaları doğrudan tarayıcıların geçici klasörlerinden çalıştırmasıyla başladığını ortaya koydu.
Ele geçirilen cihazlardan çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta verileri gibi verileri içeren "infostealer günlük kayıtları", zararlı dosyaların enfekte sistemlerdeki orijinal konumlarına ilişkin önemli bilgiler de sağladı.
Şirketin gerçekleştirdiği 2025 yılı log dosyası analizine göre, en yaygın konum, tüm vakaların yaklaşık yüzde 35'ini oluşturan "Windows" geçici dizini (C:\Users\AppData\Local\Temp) oldu. Klasör, internetten indirilen dosyaların kullanıcı tarafından kaydedilmeden önce geçici olarak depolandığı alan olarak biliniyor.
Bulgular, enfeksiyonların önemli bölümünün kullanıcıların indirdikleri dosyaları doğrudan çalıştırması sonucu gerçekleştiğini ve saldırganların çoğu durumda gelişmiş gizlenme tekniklerine ihtiyaç duymadığını gösteriyor.
Vakaların yaklaşık yüzde 32'sinden sorumlu olan ikinci en yaygın konum ise C:\Windows\Microsoft.NET\Framework\ dizini olarak öne çıktı.
Söz konusu yol, zararlı yazılımların tespit edilmekten kaçınmak amacıyla meşru sistem süreçlerini kötüye kullandığı süreç enjeksiyonu ve "living off the land" teknikleriyle ilişkilendiriliyor. Bu tür davranışlar özellikle "Lumma" gibi daha gelişmiş infostealer ailelerinde yaygın olarak gözlemleniyor.
Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını ortaya koyuyor. Bunlardan ilki güvenilir olmayan kaynaklardan yazılım indirmek, ikincisi de yazılımları yasa dışı yöntemlerle etkinleştirmeye çalışmak olarak belirlendi.
Bir çok vakada kurbanların, tehdit aktörlerinin yönlendirmelerini takip ederek zararlı dosyaları çalıştırmadan önce güvenlik yazılımlarını devre dışı bıraktığı görüldü.
Birçok zararlı dosya, meşru yazılım kurulum paketleri, lisans etkinleştiriciler veya oyun modifikasyonları gibi gösterilerek dağıtıldı.
Oyun modları hala yaygın tuzak yöntemi olmaya devam ederken, saldırganlar aynı teknikleri kullanarak hemen her tür yazılımı dağıtabiliyor. Davranışsal özelliklerin yanı sıra, farklı bilgi hırsızlığı aileleri arasında belirgin adlandırma kalıpları da tespit edildi.
Lumma genellikle genel kurulum dosyası isimlerini, ".NET" tabanlı gizleme tekniklerini ve süreç enjeksiyonunu tercih ediyor. "Vidar" ise çoğunlukla geleneksel yükleyici bileşenler (loader) kullanan Bootstrapper.exe türevleri şeklinde karşıya çıkıyor. "Stealc" hem Licence_Version_Loader.exe gibi anlamlı dosya isimlerini hem de rastgele oluşturulmuş adları kullanarak karma yaklaşım izliyor. "RisePro" ise MPGPH.exe ve MSIUpdater.exe gibi tekrar eden adlandırma kalıplarıyla diğerlerinden ayrışıyor.
Kapsamlı dijital risk koruma çözümü kullanın
Kaspersky uzmanları, infostealer enfeksiyonu riskini azaltmak için kurumlara, "Kuruluşların dijital varlıklarını izleyen ve yüzey web, 'derin web' ile 'dark web' genelindeki tehditleri tespit eden Kaspersky Digital Footprint Intelligence gibi kapsamlı dijital risk koruma çözümü kullanın. Bilgi güvenliği ekiplerinize kuruluşunuzu hedef alan siber tehditlere ilişkin derinlemesine görünürlük sağlayın. Kaspersky Threat Intelligence çözümleri, olay yönetimi döngüsünün tamamında zengin ve anlamlı bağlam sunarak siber risklerin zamanında tespit edilmesine yardımcı olur." önerilerinde bulundu.
Şirket uzmanları bireysel kullanıcılar için ise şu önerilerde bulundu
"Yazılımları yalnızca resmi ve güvenilir kaynaklardan indirin, korsan yazılımlar, kırılmış sürümler (crack), lisans etkinleştiriciler ve resmi olmayan yükleyicilerden kaçının. Tüm bilgisayar ve mobil cihazlarda Kaspersky Premium gibi güvenlik çözümü kullanın. Bu tür çözümler olası tehditler konusunda sizi uyarır ve cihazlarınızın zararlı yazılımlarla enfekte olmasını önlemeye yardımcı olur.
Hassas verilerinizi güvenli şekilde yönetin. Parolaları veya kurtarma anahtarlarını fotoğraf galerilerinde ya da not uygulamalarında saklamak yerine, Kaspersky Password Manager gibi güvenilir parola yöneticisi kullanın. Herhangi bir yazılım yüklemek için antivirüs veya güvenlik araçlarını devre dışı bırakmayın. Oyun modları, hile yazılımları ve üçüncü taraf yardımcı araçları indirirken ekstra dikkatli olun. İşletim sistemlerinizi ve uygulamalarınızı güncel tutun, güçlü ve benzersiz parolalar kullanın ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı etkinleştirin."
"Enfeksiyon sayısı bir önceki yıla göre yüzde 59 yükseldi"
Açıklamada görüşlerine yer verilen Kaspersky Digital Footprint Intelligence Uzmanı Sergey Shcherbel, bilgi hırsızlığına yönelik saldırıların 2025'te ciddi artış gösterdiğini ve enfeksiyon sayısının bir önceki yıla göre yüzde 59 yükseldiğini belirtti.
Analizin, söz konusu vakaların önemli bölümünde kullanıcı davranışlarının kritik rol oynadığını ortaya koyduğunu kaydederek, "Geçici indirme klasörlerinden çalıştırılan bilgi hırsızlığı örneklerinin yüksek hacmi, kullanıcıların bu dosyaları indirdikten hemen sonra çalıştırdığını gösteriyor. Birçok durumda saldırganların gelişmiş tekniklere ihtiyacı yok; kullanıcıyı bir dosyayı çalıştırmaya ikna etmeleri yeterli oluyor." ifadelerini kullandı.
Yorumlar
0 yorum