Yeni bir araştırma, bilgi hırsızlığına yönelik zararlı yazılım enfeksiyonlarının üçte birinden fazlasının kullanıcıların dosyaları doğrudan tarayıcıların geçici klasörlerinden çalıştırmasıyla başladığını ortaya koydu.
Digital Footprint Intelligence araştırmacıları, 2025 yılı boyunca karanlık webde tespit edilen 5 milyon infostealer günlük kaydını (log dosyası) analiz etti. Ele geçirilen cihazlardan çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta verileri gibi verileri içeren bu kayıtlar, zararlı dosyaların enfekte sistemlerdeki orijinal konumlarına ilişkin önemli bilgiler de sağladı.
Analize göre en yaygın konum, tüm vakaların yaklaşık %35’ini oluşturan Windows geçici dizini (C:UsersAppDataLocalTemp) oldu. Bu klasör, internetten indirilen dosyaların kullanıcı tarafından kaydedilmeden önce geçici olarak depolandığı alan olarak biliniyor. Bulgular, enfeksiyonların önemli bir bölümünün kullanıcıların indirdikleri dosyaları doğrudan çalıştırması sonucu gerçekleştiğini ve saldırganların çoğu durumda gelişmiş gizlenme tekniklerine ihtiyaç duymadığını gösteriyor.
Vakaların yaklaşık %32’sinden sorumlu olan ikinci en yaygın konum ise C:WindowsMicrosoft.NETFramework dizini olarak öne çıktı. Bu yol, zararlı yazılımların tespit edilmekten kaçınmak amacıyla meşru sistem süreçlerini kötüye kullandığı süreç enjeksiyonu ve “living off the land” teknikleriyle ilişkilendiriliyor. Bu tür davranışlar özellikle Lumma gibi daha gelişmiş infostealer ailelerinde yaygın olarak gözlemleniyor.
Haberlerimizi Google’da takip edin
En güncel haberlere ve son dakika gelişmelerine Google üzerinden anında ulaşmak için bizi favorilerinize ekleyin.
Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını ortaya koyuyor: Güvenilir olmayan kaynaklardan yazılım indirmek ve yazılımları yasa dışı yöntemlerle etkinleştirmeye çalışmak. Bir çok vakada kurbanların, tehdit aktörlerinin yönlendirmelerini takip ederek zararlı dosyaları çalıştırmadan önce güvenlik yazılımlarını devre dışı bıraktığı görüldü.
Araştırmaya göre birçok zararlı dosya, meşru yazılım kurulum paketleri, lisans etkinleştiriciler veya oyun modifikasyonları gibi gösterilerek dağıtıldı. Oyun modları hâlâ yaygın bir tuzak yöntemi olmaya devam ederken, saldırganlar aynı teknikleri kullanarak hemen her tür yazılımı dağıtabiliyor.
Davranışsal özelliklerin yanı sıra, farklı bilgi hırsızlığı aileleri arasında belirgin adlandırma kalıpları da tespit edildi. Lumma genellikle genel kurulum dosyası isimlerini, .NET tabanlı gizleme tekniklerini ve süreç enjeksiyonunu tercih ediyor.
Vidar ise çoğunlukla geleneksel yükleyici bileşenler (loader) kullanan Bootstrapper.exe türevleri şeklinde karşımıza çıkıyor. Stealc hem Licence_Version_Loader.exe gibi anlamlı dosya isimlerini hem de rastgele oluşturulmuş adları kullanarak karma bir yaklaşım izliyor. RisePro ise MPGPH.exe ve MSIUpdater.exe gibi tekrar eden adlandırma kalıplarıyla diğerlerinden ayrışıyor.
ROBLOX AÇILACAK MI? Roblox erişim engeli kaldırıldı mı, ne zaman açılacak?
İOS 27 GÜNCELLEMESİ ALACAK İPHONE TELEFON MODELLERİ: iPhone 11 iOS 27 güncellemesi alacak mı?
İOS 27 ALACAK TELEFON MODELLERİ HANGİLERİ? İOS 27 hangi telefonlara gelecek?
DİSCORD AÇILACAK MI? Discord ne zaman açılacak? Bakan Uraloğlu’dan Discord açıklaması!
Geçtiğimiz yıl teknoloji dünyasında fırtınalar estirmişti: DeepSeek yeniden sahnede! Yeni modelini tanıttı…
5G UYUMLU TELEFONLAR LİSTESİ: iPhone 11 5G destekliyor mu? 5G nasıl açılır? Hangi telefonlar 5G destekliyor?
