Krađa podataka često počinje jednim klikom
Novo istraživanje kompanije Kaspersky Digital Footprint Intelligence (DFI) otkrilo je da više od jedne trećine napada infostealer malverom (malver namenjen krađi podataka korisnika) počinje kada korisnici pokrenu fajlove direktno iz privremenih foldera internet pregledača.
Ovo potvrđuje da ponašanje korisnika i dalje predstavlja ključni faktor koji dovodi do krađe akreditiva. Samo 32% infostealer napada koristi tehnike ubrizgavanja procesa (process injection) i zloupotrebe legitimnih sistemskih alata (living off the land), što je ponašanje karakteristično za naprednije malvere.
Istraživači iz Kaspersky Digital Footprint Intelligence analizirali su 5 miliona log fajlova infostealer malvera pronađenih na dark webu tokom 2025. godine. Ovi log fajlovi, koji sadrže podatke ukradene sa kompromitovanih uređaja, poput akreditiva za naloge, kolačića internet pregledača i metapodataka sistema, otkrili su i originalne lokacije zlonamernih fajlova na zaraženim uređajima.
Najčešća lokacija bio je Windows privremeni direktorijum C:\Users\AppData\Local\Temp\, koji je činio približno 35% svih zabeleženih slučajeva. Ovaj folder se uobičajeno koristi za čuvanje fajlova preuzetih sa interneta pre nego što ih korisnik eksplicitno sačuva, pa se značajan broj napada događa kada korisnici direktno pokrenu preuzete fajlove, bez potrebe da napadači koriste sofisticirane tehnike za izbegavanje detekcije.
Druga najčešća lokacija, odgovorna za oko 32% slučajeva, bila je C:\Windows\Microsoft.NET\Framework\. Ova putanja povezana je sa tehnikama ubrizgavanja procesa i zloupotrebe legitimnih sistemskih alata (living off the land), pri kojima malver koristi legitimne sistemske procese kako bi izbegao otkrivanje. Takvo ponašanje često se sreće kod naprednijih porodica infostealer malvera, uključujući Lumma.
Analiza pokazuje da su napadi često povezani sa dve rizične aktivnosti korisnika: preuzimanjem softvera iz nepouzdanih izvora i pokušajima nelegalne aktivacije softvera. U mnogim slučajevima žrtve prate uputstva koja im daju akteri pretnji i isključuju bezbednosni softver pre pokretanja zlonamernih fajlova. Prema rezultatima istraživanja, veliki broj zlonamernih fajlova bio je maskiran kao legitimni instalacioni programi, aktivatori ili modifikacije za video-igre. Iako modovi za igre i dalje predstavljaju čest mamac, napadači iste tehnike često prilagođavaju za distribuciju praktično bilo koje vrste softvera.
„Infostealer malver je doživeo veliki porast tokom 2025. godine, pri čemu je broj napada povećan za 59% u odnosu na prethodnu godinu. Naša analiza pokazuje da ponašanje korisnika i dalje predstavlja ključni faktor u velikom broju ovih kompromitacija.
Veliki broj infostealer malvera koji se pokreću iz privremenih foldera za preuzimanje sugeriše da korisnici često pokrenu fajlove odmah nakon preuzimanja. U mnogim slučajevima napadačima nisu potrebne sofisticirane tehnike – dovoljno je da ubede korisnika da pokrene fajl“, izjavio je Sergey Shcherbel, stručnjak kompanije Kaspersky Digital Footprint Intelligence.
Kompletan izveštaj dostupan je ovde.
