Karanlık Web Verileriyle Belirlenen Infostealer Saldırıları ve Kullanıcı Davranışlarının Rolü (DFI 2025 Raporu)

Karanlık Web verileriyle belirlenen infostealer saldırıları ve kullanıcı davranışlarının rolü hakkında DFİ 2025 raporu özeti.

Kaspersky Digital Footprint Intelligence (DFI) tarafından yürütülen inceleme, zararlı yazılımların bilgi hırsızlığı amacıyla en sık kullanıcıların dosyalarını tarayıcıların geçici klasörlerinden çalıştırmasıyla başladığını ortaya koyuyor. Bu bulgular, kimlik hırsızlığına karşı kullanıcı davranışlarının hâlâ merkezi bir rol oynadığını gösterirken, infostealer saldırılarının yalnızca %32’sinde süreç enjeksiyonu ve “living off the land” tekniklerinin kullanıldığını vurguluyor.

2025 boyunca karanlık web üzerinde tespit edilen yaklaşık 5 milyon infostealer günlük kaydı analiz edildi. Ele geçen hesap bilgileri, tarayıcı çerezleri ve sistem meta verileri gibi veriler, zararlı dosyaların enfekte sistemlerdeki orijinal konumlarıyla ilgili önemli ipuçları sunuyor. En sık karşılaşılan konum, Windows geçici dizini olarak öne çıktı ve vakaların yaklaşık %35’ini oluşturdu: C:\Users\AppData\Local\Temp. Bu alan, kullanıcılar dosyaları kaydetmeden önce geçici olarak toplu halde saklar. Enfeksiyonların çoğu, kullanıcıların indirdikleri dosyaları çalıştırmasıyla gerçekleşiyor ve saldırganların her durumda gelişmiş gizlenme tekniklerine ihtiyaç duymadığı görülüyor.

İkinci en yaygın konum, yaklaşık %32’lik payıyla C:\Windows\Microsoft.NET\Framework\ dizini oldu. Bu yol, zararlı yazılımların meşru sistem süreçlerini kötüye kullanarak fark edilmeden yürütülmesini hedefleyen yöntemlerle ilişkilendiriliyor. Özellikle Lumma gibi daha sofistike infostealer ailelerinde bu davranışlar daha sık gözlemleniyor.

Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını gösteriyor: Güvenilir olmayan kaynaklardan yazılım indirme ve yasa dışı aktivasyon çabaları. Birçok durumda kullanıcıların güvenlik yazılımlarını devre dışı bıraktığı, tehdit aktörlerinin yönlendirmelerini takip ederek zararlı dosyaları çalıştırmaya başladığı tespit edildi. Çok sayıda zararlı dosya, meşru kurulum paketleri, lisans etkinleştiriciler veya oyun modifikasyonları gibi maske isimleriyle dağıtılıyor. Oyun modları hâlâ yaygın bir tuzak olsa da saldırganlar diğer yazılımlar için de aynı teknikleri kullanabiliyor.

Uzman Görüşü: Kaspersky Digital Footprint Intelligence Uzmanı Sergey Shcherbel’in yorumu özetle şu: “2025 yılında bilgi hırsızlığı vakaları önemli bir artış gösterdi ve enfeksiyon sayısı önceki yıla göre %59 arttı. Çoğu durumda kullanıcı davranışları kritik rol oynuyor. Geçici indirme klasörlerinden çalışan zararlı örneklerinin hacmi, dosyaları indirdikten sonra hemen çalıştırma eğilimini gösteriyor. Gerçekleşen durumlarda saldırganların gelişmiş tekniklere ihtiyaç duyduğu nadiren görülüyor; kullanıcıyı dosyayı açmaya ikna etmek çoğu zaman yeterli oluyor.”

Rapor, infostealer ailesel adlandırma kalıplarında da belirgin farklılıklar ortaya koyuyor. Lumma, genel kurulum dosyaları ve .NET tabanlı gizleme ile süreç enjeksiyonunu tercih ederken; Vidar, Bootstrapper.exe türevleriyle ve geleneksel yükleyici bileşenleriyle öne çıkıyor. Stealc, hem anlamlı dosya isimleri hem de rastgele adlar kullanarak karma bir yaklaşım benimsiyor. RisePro ise MPGPH.exe ve MSIUpdater.exe gibi tekrarlayan adlandırma kalıplarıyla ayrışıyor.

İnfostealer enfeksiyonunu azaltmaya yönelik öneriler arasında, dijital varlıkları izleyen ve yüzey, derin ve karanlık web tehditlerini tek bir çatı altında toplayan çözümler ile güvenlik operasyonları için daha derin görünürlük sağlayan araçlar öne çıkıyor. Bireysel kullanıcılar için ise doğruluk ve güvenlik odaklı adımlar tavsiye ediliyor: yalnızca güvenilir kaynaklardan yazılım indirmek, güvenlik çözümlerini güncel tutmak, güvenli parola yönetimi uygulamak ve antivirüs/devre dışı bırakmalar konusunda dikkatli olmak. Ayrıca işletim sistemi ve uygulamaların güncel tutulması ile güçlü parolalar ve çok faktörlü kimlik doğrulama önerileri güçlendirme amacı taşıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı