Gerçekleştirilen yeni bir araştırma, bilgi hırsızlığına yönelik zararlı yazılım enfeksiyonlarının üçte birinden fazlasının kullanıcıların dosyaları doğrudan tarayıcıların geçici klasörlerinden çalıştırmasıyla başladığını ortaya koydu. Bulgular, kimlik bilgilerinin çalınmasında kullanıcı davranışlarının hâlâ belirleyici bir rol oynadığını gösteriyor. Buna karşılık, infostealer saldırılarının yalnızca yüzde 32’sinde gelişmiş zararlı yazılım ailelerinde görülen süreç enjeksiyonu (process injection) ve “living off the land” teknikleri kullanılıyor.
Kaspersky Digital Footprint Intelligence araştırmacıları, 2025 yılı boyunca karanlık webde tespit edilen 5 milyon infostealer günlük kaydını (log dosyası) analiz etti. Ele geçirilen cihazlardan çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta verileri gibi verileri içeren bu kayıtlar, zararlı dosyaların enfekte sistemlerdeki orijinal konumlarına ilişkin önemli bilgiler de sağladı.
Analize göre en yaygın konum, tüm vakaların yaklaşık yüzde 35’ini oluşturan Windows geçici dizini (C:\Users\AppData\Local\Temp) oldu. Bu klasör, internetten indirilen dosyaların kullanıcı tarafından kaydedilmeden önce geçici olarak depolandığı alan olarak biliniyor. Bulgular, enfeksiyonların önemli bir bölümünün kullanıcıların indirdikleri dosyaları doğrudan çalıştırması sonucu gerçekleştiğini ve saldırganların çoğu durumda gelişmiş gizlenme tekniklerine ihtiyaç duymadığını gösteriyor.
Vakaların yaklaşık yüzde 32’sinden sorumlu olan ikinci en yaygın konum ise C:\Windows\Microsoft.NET\Framework\ dizini olarak öne çıktı. Bu yol, zararlı yazılımların tespit edilmekten kaçınmak amacıyla meşru sistem süreçlerini kötüye kullandığı süreç enjeksiyonu ve “living off the land” teknikleriyle ilişkilendiriliyor. Bu tür davranışlar özellikle Lumma gibi daha gelişmiş infostealer ailelerinde yaygın olarak gözlemleniyor.
Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını ortaya koyuyor: Güvenilir olmayan kaynaklardan yazılım indirmek ve yazılımları yasa dışı yöntemlerle etkinleştirmeye çalışmak. Bir çok vakada kurbanların, tehdit aktörlerinin yönlendirmelerini takip ederek zararlı dosyaları çalıştırmadan önce güvenlik yazılımlarını devre dışı bıraktığı görüldü. Araştırmaya göre birçok zararlı dosya, meşru yazılım kurulum paketleri, lisans etkinleştiriciler veya oyun modifikasyonları gibi gösterilerek dağıtıldı. Oyun modları hâlâ yaygın bir tuzak yöntemi olmaya devam ederken, saldırganlar aynı teknikleri kullanarak hemen her tür yazılımı dağıtabiliyor.
Kaspersky Digital Footprint Intelligence Uzmanı Sergey Shcherbel, konuyla ilgili şunları söyledi:
“Bilgi hırsızlığına yönelik saldırılar 2025 yılında ciddi bir artış gösterdi ve enfeksiyon sayısı bir önceki yıla göre yüzde 59 yükseldi. Analizimiz, bu vakaların önemli bir bölümünde kullanıcı davranışlarının kritik rol oynadığını ortaya koyuyor. Geçici indirme klasörlerinden çalıştırılan bilgi hırlsızlığı örneklerinin yüksek hacmi, kullanıcıların bu dosyaları indirdikten hemen sonra çalıştırdığını gösteriyor. Birçok durumda saldırganların gelişmiş tekniklere ihtiyacı yok; kullanıcıyı bir dosyayı çalıştırmaya ikna etmeleri yeterli oluyor.”
Davranışsal özelliklerin yanı sıra, farklı bilgi hırsızlığı aileleri arasında belirgin adlandırma kalıpları da tespit edildi. Lumma genellikle genel kurulum dosyası isimlerini, .NET tabanlı gizleme tekniklerini ve süreç enjeksiyonunu tercih ediyor. Vidar ise çoğunlukla geleneksel yükleyici bileşenler (loader) kullanan Bootstrapper.exe türevleri şeklinde karşımıza çıkıyor. Stealc hem Licence_Version_Loader.exe gibi anlamlı dosya isimlerini hem de rastgele oluşturulmuş adları kullanarak karma bir yaklaşım izliyor. RisePro ise MPGPH.exe ve MSIUpdater.exe gibi tekrar eden adlandırma kalıplarıyla diğerlerinden ayrışıyor.
