HP Wolf Security araştırmacıları, sahte Adobe Reader dosyalarının sosyal mühendislik saldırılarında nasıl ustalıkla kullanıldığını tespit etti. Basit görünen küçük bir SVG görseli, kurbanların cihazına sızmak için ters kabuk barındırıyor. Bu dosyalar, kullanıcıları açmaya ikna ederek zincirleme bir enfeksiyon süreci başlatıyor. Özellikle Almanca konuşulan bölgelerde sınırlandırılan bu saldırılar, coğrafi filtreleme taktiğiyle de dikkat çekiyor.
HP Tehdit Raporu 2025, siber suçluların PDF tabanlı yemlerle nasıl daha inandırıcı hale geldiğini ve güvenlik sistemlerini aşmak için kullandıkları yeni taktikleri gözler önüne seriyor. Rapor, saldırganların yaratıcılığını ve güvenlik ekiplerinin karşılaştığı zorlukları net şekilde ortaya koyuyor.
Zararlı kodlar görüntülerin içine gizleniyor
Rapor, saldırganların kötü amaçlı kodları piksel verilerinin içine gizlediğini de gösteriyor. Örneğin XWorm yükleri, proje belgeleri gibi görünen dosyalara saklandı. Bu yükler ayıklandığında, PowerShell ve CMD komut dosyalarıyla kanıtların silindiği çok adımlı bir bulaşma zinciri tetiklendi. Böylece izler kayboluyor ve güvenlik ekipleri zararlı faaliyetleri takip etmekte zorlanıyor.
Lumma Stealer yeniden yükselişe geçti
2025’in ikinci çeyreğinde Lumma Stealer yeniden gündeme geldi. IMG arşivleri üzerinden yayılan bu zararlı yazılım, LOTL tekniklerini kullanarak güvenlik filtrelerini aştı. Mayıs ayındaki polis baskınlarına rağmen grup hız kesmedi ve kısa sürede yeni alan adları kaydederek altyapısını büyüttü. Bu, tehdit aktörlerinin ne kadar çabuk toparlanabildiğini gözler önüne seriyor.
HP güvenlik uzmanları, saldırganların living-off-the-land yöntemlerini zincirleyerek çok daha karmaşık hale getirdiğini vurguluyor. Basit ters kabuklar bile RAT yazılımlarının yerini alabiliyor çünkü daha az dikkat çekiyor. Araçların meşru görünüyor olması, güvenlik ekiplerini kararsız bırakıyor: ya sıkı önlemlerle kullanıcıları zor durumda bırakıyorlar ya da sistemi açık bırakarak sızma riskini artırıyorlar.
HP raporunda öne çıkan tespitlerden bazıları:
- E-posta tehditlerinin en az %13’ü ağ geçidi tarayıcılarını atlattı.
- Arşiv dosyaları (%40) en popüler bulaşma yöntemi oldu.
- .rar arşivlerinin kullanımı %26 seviyesinde devam etti.
HP Wolf Security saldırıları yakından izliyor
HP Wolf Security, şüpheli içerikleri izole ederek saldırıların gerçek yüzünü gözler önüne çıkarıyor. Şirketin verilerine göre bugüne kadar 55 milyardan fazla e-posta eki ve dosya indirildi, ancak hiçbir ihlal rapor edilmedi. Bu, katmanlı savunma yaklaşımının etkisini ortaya koyuyor. HP uzmanları, geleneksel tespit araçlarının yetersiz kalabileceğini ve sınırlama ile yalıtımın kritik önem taşıdığını vurguluyor.
HP Tehdit Raporu 2025, saldırganların hem teknik hem de taktiksel açıdan ne kadar hızlı evrildiğini kanıtlıyor. Görüntü dosyalarına gizlenen kodlar, coğrafi hedefleme ve LOTL zincirleri, siber suçluların ne kadar esnek ve dirençli olduğunu ortaya koyuyor. Güvenlik ekipleri için mesaj net: yalnızca tespit etmek değil, saldırıları erken safhada izole edip etkisiz hale getirmek gerekiyor.
