Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Kimlik ve Erişim Yönetimi
Kötü Amaçlı Yazılım Milyarlarca Kimlik Bilgisini Ele Geçiriyor
Mathew J. Schwartz (euroinfosec) •
24 Ekim 2025
Bilgisayar korsanları, şirketlere oturum çerezlerini çalan kötü amaçlı yazılımlar bulaştırarak, tehdit aktörlerinin çok faktörlü kimlik doğrulamayı atlamasına olanak tanıyarak daha sağlam karşı önlemlere uyum sağladıkça, bilgi hırsızları tarafından yürütülen kimlik bilgisi hırsızlığı salgın boyutlarına ulaşıyor.
Ayrıca bakınız: 2024 Tehdit Avcılığı Raporu: Modern Düşmanları Zekice Alt Etmeye Yönelik İçgörüler
Tehdit istihbaratı firması Flashpoint, bu yılın ilk yarısında 5,8 milyon ana bilgisayar ve cihazın bilgi hırsızları tarafından etkilendiğini ve 1,8 milyardan fazla kimlik bilgilerinin toplandığını tahmin ediyor. Bu kimlik bilgileri artık yasa dışı pazarlarda dolaşıyor ve kimliğe dayalı saldırıları körüklüyor.
Firma, bu enfeksiyonların büyük bir kısmının, özellikle kullanımı kolay olduğu bilinen Lumma Stealer’a dayandığını tespit etti. Her biri yüzlerce enfeksiyona neden olan diğer en büyük bilgi hırsızları arasında RedLine, Stealc, Vidar ve Agent Tesla vardı.
Bilgi hırsızları kullanıcı adlarını, şifreleri ve oturum belirteçlerini toplayarak saldırganların kurbanın aktif tarayıcı sekmelerini geri yüklemesine ve çok faktörlü savunmalardan kaçmasına olanak tanır. Flashpoint’in istihbarattan sorumlu başkan yardımcısı Ian Gray, bu enfeksiyonlardan gelen bilgi hırsızı günlükleri adı verilen çıktı dosyalarının “bu tür saldırıları kurumsal ağ erişimi elde etmek ve sonraki operasyonları başlatmak için bir yola dönüştürdüğünü” söyledi.
“Tek bir günlük dosyası, saldırganların sistemler arasında yanal olarak hareket etmesini ve ağda tam bir uzlaşma elde etmesini sağlamak için yeterli sayıda ana bilgisayar ve oturum bilgisini yakalayabilir.”
Gray, genellikle birkaç megabayta kadar veri içeren bir günlüğün pazarlarda 10 dolar kadar düşük bir fiyata satıldığını, ancak aynı zamanda günlük, haftalık veya başka bir temelde toplu, indirilebilir güncellemeler vaat eden abonelik hizmetleri (genellikle Telegram üzerinden) aracılığıyla da sağlandığını söyledi.
Kesintiler ve Yayından Kaldırmalar Devam Ediyor
Kolluk kuvvetleri, tedarikçiler de dahil olmak üzere bilgi hırsızlarıyla bağlantılı siber suç operasyonlarına ve hizmetlere yönelik baskıları artırdı. Bu, Microsoft’la birlikte Ekim 2024’te RedLine ve Meta bilgi hırsızlarının ve Mayıs ayında Lumma’nın engellenmesini de içeriyordu; bu, altyapısını barındıran 2.300 kötü amaçlı alan adının devre dışı bırakılmasını veya engellenmesini içeriyordu.
Bu suç operasyonlarının boyutunun altını çizen Microsoft, yalnızca 16 Mart’tan 16 Mayıs’a kadar dünya çapında Lumma’nın bulaştığı 394.000’den fazla Windows sisteminin tespit edildiğini söyledi.
Pek çok kötü amaçlı yazılım türünde olduğu gibi, polisin olaya karışan operatörleri yakalayamadığı sürece bilgi hırsızlarını gerçekten engellemek zordur. Bilgi hırsızlığı operasyonlarının çoğu muhtemelen, en azından tarihsel olarak yabancıları hedef alan siber suçlara göz yuman ve yabancı suçlamalarla karşı karşıya kalmak üzere vatandaşları asla iade etmeyen Rusya’dan yürütülüyor.
Lumma kesintiye uğradıktan sadece birkaç gün sonra devam eden bir sorun olarak yeniden ortaya çıktı. Operatörler bir siber suç forumu gönderisinde şunları söyledi: FBI’ın sunucularına karşı sıfır gün istismarı kullanmasına ve sürücüleri uzaktan silmesine rağmen, “İşlevselliği hızlı bir şekilde geri yükledik ve daha fazla günlük kaydı ekledik”.
Siber güvenlik firması Trend Micro, 22 Temmuz tarihli bir raporda, kesintinin hedeflenen sistemlerde kesintiye yol açtığını ancak “Haziran’dan Temmuz’a kadar hedeflenen hesapların sayısının istikrarlı bir şekilde normal seviyelerine döndüğünü ve Lumma Stealer operatörlerinin operasyonlarını hızlı bir şekilde yeniden kurabildiklerini ve önceki hedefleme faaliyetlerine devam edebildiklerini gösteriyor” dedi.
Lumma’nın operatörleri kesinti sonrası iyileştirmeler ekledi. “Artık kötü amaçlı yazılım daha gizli kanallar ve daha gizli kaçırma taktikleri aracılığıyla dağıtılıyor” dedi.
Bilgi hırsızı savunmaları
Bilgi hırsızları, kurban makinelere bulaşmak için büyük ölçüde sosyal mühendisliğe güveniyor. Trend Micro, bunların genellikle insanlara pahalı yazılımları ücretsiz olarak, bazen kötü amaçlı GitHub depoları yoluyla ve kurbanları kötü amaçlı yazılımı dağıtan ve çalıştıran kodu çalıştırmaları için kandırmak üzere tasarlanmış ClickFix kampanyalarını kullanarak ücretsiz olarak sağladığını iddia eden sahte çatlaklar ve anahtar oluşturucular sunduğunu söyledi.
Sosyal medya bir diğer baskın saldırı vektörüdür. Check Point Research’ün Perşembe günkü raporunda, 2021’de başlatılan ve yakın zamanda “Oyun Hack’leri/Hileleri” ve “Yazılım Çatlakları/Korsanlığı” kategorileri aracılığıyla dağıtılan 3.000 kötü amaçlı videodan oluşan YouTube Ghost Network ayrıntıları veriliyor.
Araştırmacılar bunlara karşı savunma için birden fazla strateji öneriyor. Check Point, “Kullanıcı eğitimi hayati bir savunma hattı olmaya devam ediyor; bireyler, resmi olmayan kaynaklardan yazılım indirmenin getirdiği riskler ve siber suçluların kullandığı aldatıcı taktikler konusunda bilgilendirilmelidir.” dedi.
Flashpoint’ten Gray, Information Security Media Group’a genel olarak “siber hijyenin uzun bir yol kat ettiğini” söyledi. Bu, yalnızca MFA’yı değil aynı zamanda ağ bölümlendirmesini ve kendi cihazını getir erişim kontrolleri gibi “izinleri” de içerir.
Aynı şekilde, kendisinin ve diğer pek çok şirketin sunduğu bir hizmet olan tehdit istihbaratı izlemenin kullanılmasını, özellikle de kurumsal kimlik bilgileri bir günlük bulutunda keşfedildiğinde erken alarm verilmesini öneriyor. Bu kimlik bilgilerinin bazıları hızlı bir şekilde kullanılabilse de, diğerleri haftalar, aylar veya yıllar sonra kullanılamayabilir.