Yeni bir araştırma, bilgi hırsızlığına yönelik zararlı yazılım enfeksiyonlarının üçte birinden fazlasının kullanıcıların dosyaları doğrudan tarayıcıların geçici klasörlerinden çalıştırmasıyla başladığını ortaya koydu.
Digital Footprint Intelligence araştırmacıları, 2025 yılı boyunca karanlık webde tespit edilen 5 milyon infostealer günlük kaydını (log dosyası) analiz etti. Ele geçirilen cihazlardan çalınan hesap bilgileri, tarayıcı çerezleri ve sistem meta verileri gibi verileri içeren bu kayıtlar, zararlı dosyaların enfekte sistemlerdeki orijinal konumlarına ilişkin önemli bilgiler de sağladı.
Analize göre en yaygın konum, tüm vakaların yaklaşık %35’ini oluşturan Windows geçici dizini (C:\Users\AppData\Local\Temp) oldu. Bu klasör, internetten indirilen dosyaların kullanıcı tarafından kaydedilmeden önce geçici olarak depolandığı alan olarak biliniyor. Bulgular, enfeksiyonların önemli bir bölümünün kullanıcıların indirdikleri dosyaları doğrudan çalıştırması sonucu gerçekleştiğini ve saldırganların çoğu durumda gelişmiş gizlenme tekniklerine ihtiyaç duymadığını gösteriyor.
Vakaların yaklaşık %32’sinden sorumlu olan ikinci en yaygın konum ise C:\Windows\Microsoft.NET\
Araştırma, enfeksiyonların çoğunlukla iki riskli kullanıcı davranışından kaynaklandığını ortaya koyuyor: Güvenilir olmayan kaynaklardan yazılım indirmek ve yazılımları yasa dışı yöntemlerle etkinleştirmeye çalışmak. Bir çok vakada kurbanların, tehdit aktörlerinin yönlendirmelerini takip ederek zararlı dosyaları çalıştırmadan önce güvenlik yazılımlarını devre dışı bıraktığı görüldü. Araştırmaya göre birçok zararlı dosya, meşru yazılım kurulum paketleri, lisans etkinleştiriciler veya oyun modifikasyonları gibi gösterilerek dağıtıldı. Oyun modları hâlâ yaygın bir tuzak yöntemi olmaya devam ederken, saldırganlar aynı teknikleri kullanarak hemen her tür yazılımı dağıtabiliyor.
Davranışsal özelliklerin yanı sıra, farklı bilgi hırsızlığı aileleri arasında belirgin adlandırma kalıpları da tespit edildi. Lumma genellikle genel kurulum dosyası isimlerini, .NET tabanlı gizleme tekniklerini ve süreç enjeksiyonunu tercih ediyor. Vidar ise çoğunlukla geleneksel yükleyici bileşenler (loader) kullanan Bootstrapper.exe türevleri şeklinde karşımıza çıkıyor. Stealc hem Licence_Version_Loader.exe gibi anlamlı dosya isimlerini hem de rastgele oluşturulmuş adları kullanarak karma bir yaklaşım izliyor. RisePro ise MPGPH.exe ve MSIUpdater.exe gibi tekrar eden adlandırma kalıplarıyla diğerlerinden ayrışıyor.
Raporun tamamına buradan
Medion Signium 14 S1 : Tüy Sıklet Tasarım, Ağır Sıklet Ekran
