Bilgi hırsızlığı yazılımları en çok tarayıcıların geçici klasörlerinden yayılıyor

Bilgi hırsızlığına yönelik zararlı yazılım enfeksiyonlarının üçte birinden fazlası, kullanıcıların dosyaları doğrudan tarayıcıların geçici klasörlerinden çalıştırmasıyla başlıyor. Kaspersky Digital Footprint Intelligence (DFI) tarafından gerçekleştirilen yeni bir araştırma, kimlik bilgilerinin çalınmasında kullanıcı davranışlarının hala belirleyici bir rol oynadığını ortaya koydu. Buna karşılık, infostealer saldırılarının yalnızca %32'sinde gelişmiş zararlı yazılım ailelerinde görülen süreç enjeksiyonu (process injection) ve "living off the land" teknikleri tercih ediliyor.

Araştırmacılar, 2025 yılı boyunca karanlık webde tespit edilen 5 milyon infostealer günlük kaydını (log dosyası) analiz etti. Ele geçirilen cihazlardan çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta verileri gibi verileri içeren bu kayıtlar, zararlı dosyaların enfekte sistemlerdeki orijinal konumlarına ilişkin önemli bilgiler sağladı.

Analize göre en yaygın konum, tüm vakaların yaklaşık %35'ini oluşturan Windows geçici dizini (C:\Users\AppData\Local\Temp) oldu. Bu klasör, internetten indirilen dosyaların kullanıcı tarafından kaydedilmeden önce geçici olarak depolandığı alan olarak biliniyor. Bulgular, enfeksiyonların önemli bir bölümünün kullanıcıların indirdikleri dosyaları doğrudan çalıştırması sonucu gerçekleştiğini ve saldırganların çoğu durumda gelişmiş gizlenme tekniklerine ihtiyaç duymadığını gösteriyor.

Vakaların yaklaşık %32'sinden sorumlu olan ikinci en yaygın konum ise C:\Windows\Microsoft.NET\Framework\ dizini olarak öne çıktı. Bu yol, zararlı yazılımların tespit edilmekten kaçınmak amacıyla meşru sistem süreçlerini kötüye kullandığı süreç enjeksiyonu ve "living off the land" teknikleriyle ilişkilendiriliyor. Bu tür davranışlar özellikle Lumma gibi daha gelişmiş infostealer ailelerinde yaygın olarak gözlemleniyor.

Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını gösterdi: Güvenilir olmayan kaynaklardan yazılım indirmek ve yazılımları yasa dışı yöntemlerle etkinleştirmeye çalışmak. Birçok vakada kurbanlar, tehdit aktörlerinin yönlendirmelerini takip ederek zararlı dosyaları çalıştırmadan önce güvenlik yazılımlarını devre dışı bıraktı. Birçok zararlı dosya, meşru yazılım kurulum paketleri, lisans etkinleştiriciler veya oyun modifikasyonları gibi gösterilerek dağıtıldı. Oyun modları hala yaygın bir tuzak yöntemi olmaya devam ederken, saldırganlar aynı teknikleri kullanarak hemen her tür yazılımı yayabiliyor.

Kaspersky Digital Footprint Intelligence Uzmanı Sergey Shcherbel, bilgi hırsızlığına yönelik saldırıların 2025 yı