Kötü amaçlı yazılım kilit ekranı verilerini yakalayabiliyor. Kaldırma girişimlerini engelleyebiliyor, cihaz bilgilerini toplayabiliyor, ekran görüntüsü alabiliyor ve ekran etkinliğini video olarak kaydedebiliyor. ESET araştırmacıları bilinen ilk yapay zekâ destekli fidye yazılımı olan PromptLock’u, Ağustos 2025’te keşfetmişlerdi.  PromptSpy ESET Research’ün keşfettiği ikinci yapay zekâ destekli kötü amaçlı yazılım oldu.  

Dil yerelleştirme ipuçları ve analiz sırasında gözlemlenen dağıtım vektörlerine dayanarak, bu kampanyanın finansal amaçlı olduğu ve öncelikle Arjantin’deki kullanıcıları hedeflediği görülüyor. Ancak PromptSpy henüz ESET telemetrisinde gözlemlenmedi, bu da muhtemelen bir kavram kanıtı niteliğinde olduğunu gösteriyor. Üretken yapay zekâ, PromptSpy’ın kodunun nispeten küçük bir bölümünde (kalıcılık sağlamaktan sorumlu olan bölüm) kullanılmasına rağmen kötü amaçlı yazılımın uyarlanabilirliği üzerinde önemli bir etkiye sahip. Özellikle, Gemini, PromptSpy’a kötü amaçlı uygulamanın son uygulamalar listesinde (çoğu Android başlatıcının çoklu görev görünümünde genellikle bir asma kilit simgesiyle temsil edilir) “kilitli”, yani sabitlenmiş hâle getirilmesi için adım adım talimatlar sağlamak amacıyla kullanılır. Böylece uygulamanın sistem tarafından kolayca silinmesini veya kapatılmasını önler. Yapay zekâ modeli ve komut istemi kodda önceden tanımlanmıştır ve değiştirilemez. 

PromptSpy’ı keşfeden ESET araştırmacısı Lukáš Štefanko şu açıklamayı yaptı: “Android kötü amaçlı yazılımları genellikle UI tabanlı navigasyona dayandığından üretken yapay zekâyı kullanmak, tehdit aktörlerinin hemen hemen her cihaza, düzene veya işletim sistemi sürümüne uyum sağlamasına olanak tanır ve bu da potansiyel kurban havuzunu büyük ölçüde artırabilir. PromptSpy’ın temel amacı, operatörlere kurbanın cihazına uzaktan erişim sağlayan yerleşik bir VNC modülü dağıtmaktır. Bu Android kötü amaçlı yazılımı ayrıca Erişilebilirlik Hizmetlerini kötüye kullanarak görünmez kaplamalarla kaldırılmasını engeller, kilit ekranı verilerini yakalar ve ekran etkinliğini video olarak kaydeder. AES şifreleme yoluyla Komuta ve Kontrol sunucusuyla iletişim kurar.” 

PromptSpy, özel bir web sitesi aracılığıyla dağıtılıyor ve Google Play’de hiç bulunmamıştı. Bununla birlikte, App Defense Alliance ortağı olan ESET, bulgularını Google ile paylaşmıştı. Android kullanıcıları, Google Play Hizmetleri’ne sahip Android cihazlarda varsayılan olarak etkinleştirilen Google Play Protect tarafından bu kötü amaçlı yazılımın bilinen sürümlerine karşı otomatik olarak korunuyor.

Lukáš Štefanko, PromptSpy Gemini’yi yalnızca bir özelliğinde kullanıyor olsa da bu araçların uygulanmasının kötü amaçlı yazılımları nasıl daha dinamik hâle getirebileceğini ve tehdit aktörlerine geleneksel komut dosyası yazımıyla normalde daha zor olan eylemleri otomatikleştirme yolları sunduğunu gösterdiğini söyledi.

Uygulamanın adı MorganArg ve simgesi Morgan Chase’den esinlenmiş gibi göründüğünden bu kötü amaçlı yazılım muhtemelen Morgan Chase bankasını taklit ediyor. MorganArg, muhtemelen “Morgan Argentina”nın kısaltması ve önbelleğe alınmış web sitesinin adı olarak da görünür, bu da bölgesel bir hedefleme odağı olduğunu düşündürüyor.

PromptSpy, ekrana görünmez öğeler yerleştirerek kaldırılmasını engellediğinden kurbanın bunu kaldırmasının tek yolu, cihazı Güvenli Modda yeniden başlatmak. Güvenli Modda, üçüncü taraf uygulamalar devre dışı bırakılır ve normal şekilde kaldırılabilir. Güvenli Mod’a girmek için kullanıcılar genellikle güç düğmesini basılı tutmalı, Güç kapat’a uzun basmalı ve Güvenli Mod’da Yeniden Başlat komutunu onaylamalıdır (ancak kesin yöntem cihaza ve üreticiye göre farklılık gösterebilir). Telefon Güvenli Modda yeniden başlatıldığında, kullanıcı Ayarlar → Uygulamalar → MorganArg’a gidip engellenmeden kaldırma işlemini gerçekleştirebilir.

Üretken yapay zekâ kullanan Android tehditleri çağı başladı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Milano-Cortina’da düzenlenen Kış Olimpiyat Oyunları da dünyanın dört bir yanındaki sporseverler tarafından ilgiyle takip ediliyor. Spor dolandırıcılığının siber suçlular için büyük bir cazibe kaynağı olduğunu dikkate alan siber güvenlik şirketi ESET, sporseverler için online güvenlik önerilerini paylaştı. 

Kimlik avı girişimleri Bunlar, oyunların resmî organizatörleri, sponsorları veya diğer üçüncü tarafları taklit eden, istenmeyen e-postalar, metin mesajları veya sosyal medya mesajlarıdır. Genellikle, kişisel ve finansal bilgilerinizi girmenizi veya kötü amaçlı bağlantılara tıklamanızı/ekleri açmanızı sağlayarak sessizce kötü amaçlı yazılım yüklemeye çalışırlar. 

Sahte olimpiyat siteleri Resmî bilet, seyahat ve konaklama satışı yaptığını iddia eden bazı e-ticaret siteleri gerçek gibi görünebilir. Ancak bunların tek amacı paranızı ve/veya kart bilgilerinizi ele geçirmektir. Satın aldığınız ürün aslında mevcut değildir. Bazı durumlarda, dolandırıcılar Airbnb, eBay ve Facebook Marketplace gibi gerçek sitelere ve pazar yerlerine sahte ilanlar da verebilirler.

Ücretsiz ve yasa dışı yayın siteleri Bazı siteler sporseverlere maçların video içeriklerine ücretsiz erişim imkânı sunar. Ancak bu siteler, bağlantılar, eklentiler ve dosyalarda gizlenmiş kötü amaçlı yazılımların yuvası da olabilir. Ayrıca genellikle sadece küçük bir rahatsızlık yaratmayan video üstü reklamlarla doludurlar. Bunun yerine, çoğu kötü amaçlıdır ve üzerlerine tıkladığınızda kötü amaçlı bir web sitesine yönlendirilir veya farkında olmadan cihazınıza kötü amaçlı yazılım indirirsiniz.

Spor dolandırıcılığı için sahte uygulamalar Resmî Kış Olimpiyatları uygulamaları gibi görünen mobil uygulamalar, aslında bilgi hırsızlığı amaçlı kötü amaçlı yazılımlar veya diğer tehditler içerebilir. Bu tür kötü amaçlı uygulamalar çoğunlukla çeşitli üçüncü taraf uygulama mağazalarında bulunur.

SEO zehirlenmesi Dolandırıcılar, sponsorlu reklamlar için ödeme yapar veya SEO tekniklerini kullanarak kötü amaçlı web sitelerini arama sonuçlarının en üstüne çıkarır. Drive-by indirmeleri tetikleyebilir veya kişisel bilgilerinizi ele geçirmeye çalışabilirler.

Destek dolandırıcılığı Sosyal medyada uçuşunuz, oteliniz veya biletlerinizle ilgili bir sorun hakkında şikâyet ederseniz dolandırıcılar “resmî destek” gibi davranarak devreye girebilirler. Aslında yardım etmek istemiyorlar, sadece kişisel, finansal ve rezervasyon bilgilerinizi almak istiyorlar.  

Yapay zekâ destekli dolandırıcılık Dolandırıcılar, başarı şanslarını artırmak için yapay zekâ destekli araçları ve hizmetleri giderek daha fazla kullanıyor. Kusursuz yerel dillerde büyük ölçekli kimlik avı web siteleri ve mesajlar oluşturabilirler. Ayrıca karar verme sürecinizi etkilemek için gerçekçi ses ve videolar da oluşturabilirler. Sahte hayır kurumları veya “eğitim fonları” için bağış toplamaya çalışan ünlü sporcuların deepfake videolarına dikkat edin. 

QR kodu kimlik avı Etkinlikteyseniz quishing girişimlerine dikkat edin. Etkinliklerde yayımlanan QR kodları aslında kimlik avı sitelerine ve kötü amaçlı yazılım indirmelerine yönlendirebilir. Bu, ödeme bilgilerinizi veya kişisel bilgilerinizi çalmak için fiziksel ve dijital tehditleri birleştiren, sıkça kullanılan bir taktiktir. Bu taktik, genellikle kimlik avı URL’leri gibi insanlarda aynı düzeyde şüphe uyandırmadığı için özellikle etkilidir. Mobil cihazlar da genellikle dizüstü ve masaüstü bilgisayarlar kadar iyi korunmadığından bu taktiğin başarı şansı daha yüksektir.

Halka açık Wi-Fi Etkinlikte dışarıdaysanız kişisel ve finansal bilgilerinizi ele geçirmek için tasarlanmış sahte ve benzer hotspotlara dikkat edin.

Spor dolandırıcılığı karşısında nasıl korunabilirsiniz?

Çevrimiçi güvenliğinizi sağlamak için resmî Kış Olimpiyatları sitelerine bağlı kalın ve istenmeyen mesajlara ve gerçek olamayacak kadar iyi fırsatlara ilgi göstermeyin. 

• Biletleri  https://tickets.milanocortina2026.org/ veya https://hospitality.milanocortina2026.org/  adreslerinden satın alın. Etkinlik organizatörleri, üçüncü taraf bilet satış sitelerinde yeniden satışa izin vermemektedir.
• Ürünler için resmî site olan shop.olympics.com  adresini kullanın.
• Korsan yayın hizmetlerinden kaçının ve yalnızca NBCUniversal (ABD), BBC (İngiltere), Warner Bros Discovery (Avrupa) gibi resmî yayıncıların barındırdığı siteleri ziyaret edin.
• İstenmeyen mesajlarda, gerçek olamayacak kadar iyi görünen fırsatlara asla güvenmeyin.
• İstenmeyen mesajlardaki bağlantılara tıklamayın veya ekleri açmayın. 
• Meşru sitelerde olsalar bile listeleri dikkatlice inceleyin. Yorumları kontrol edin, her zaman resmî uygulama içi mesajlaşma hizmetini kullanın ve “doğrulanmış” rozeti veya benzeri rozetleri olan satıcıları tercih edin.
• Etkinliğe katılıyorsanız programlar, haritalar ve dijital biletler için resmî olimpiyat uygulamasını indirin.
• Mümkün olduğunca halka açık Wi-Fi’yı kullanmaktan kaçının veya mümkünse VPN kullanın. Hotspot kullanmak zorunda kalırsanız e-posta veya çevrimiçi bankacılık gibi yüksek değerli hesaplara giriş yapmayın.
• Etkinlikte veya e-postalarda görünen QR kodlarını taramaktan kaçının.
• Quishing, smishing ve e-posta tabanlı kimlik avı riskini azaltmak için cihazınıza saygın bir satıcıdan kötü amaçlı yazılım önleme yazılımı yükleyin.

Spor dolandırıcılığına dikkat yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET Research, Windows makinelerindeki ayarları ve izinleri yönetmek için genellikle Active Directory ile birlikte kullanılan bir mekanizma olan Grup İlkesini kötüye kullanarak kötü amaçlı yazılımları dağıtmak ve saldırıya uğramış ağda yatay olarak hareket etmek için yeni bir Çin bağlantılı APT grubu olan LongNosedGoblin’i keşfetti. Grup, Güneydoğu Asya ve Japonya’daki devlet kurumlarının ağlarına siber casusluk araçları dağıtmak için kullanılıyor. 

2024 yılında, ESET araştırmacıları Güneydoğu Asya’daki bir devlet kurumunun ağında daha önce belgelenmemiş bir kötü amaçlı yazılım fark etti. Grubun Eylül 2023’ten beri aktif durumda olduğu düşünülüyor. ESET, Eylül 2025 itibarıyla grubun bölgedeki faaliyetlerinin yeniden başladığını gözlemlemeye başladı. Grup, ele geçirilen ağda ve Komuta ve Kontrol (C&C) için bulut hizmetlerinde (ör. Microsoft OneDrive ve Google Drive) kötü amaçlı yazılım yayıyor. 

LongNosedGoblin’in cephaneliğinde birkaç araç bulunuyor. NosyHistorian, grubun Google Chrome, Microsoft Edge ve Mozilla Firefox’tan tarayıcı geçmişini toplamak için kullandığı bir C#/.NET uygulaması. Bu bilgiler, başka kötü amaçlı yazılımların nereye yerleştirileceğini belirlemek için kullanılıyor. NosyDoor, makine adı, kullanıcı adı, işletim sistemi sürümü ve mevcut işlemin adı dâhil olmak üzere kurbanın makinesiyle ilgili meta verileri toplar ve tümünü C&C’ye gönderir. Ardından C&C’den komutlar içeren görev dosyalarını alır ve ayrıştırır. Komutlar, dosyaları sızdırmasına, dosyaları silmesine ve kabuk komutlarını yürütmesine olanak tanır.

NosyStealer, Microsoft Edge ve Google Chrome’dan tarayıcı verilerini çalmak için kullanılır. NosyDownloader, bir dizi gizlenmiş komutu yürütür ve belleğe bir yük indirip çalıştırır. LongNosedGoblin tarafından kullanılan diğer araçların yanı sıra ESET, açık kaynaklı keylogger DuckSharp’ın değiştirilmiş bir versiyonu gibi görünen C#/.NET keylogger NosyLogger’ı da tespit etti. Grup tarafından kullanılan diğer araçlar arasında ters SOCKS5 proxy ve ses ve video yakalamak için muhtemelen FFmpeg gibi bir video kaydedici çalıştırmak için kullanılan bir argüman çalıştırıcı (argüman olarak geçirilen bir uygulamayı çalıştıran bir araç) bulunmaktadır. 

LongNosedGoblin’i Peter Strýček ile birlikte araştıran ESET araştırmacısı Anton Cherepanov  “Farklı teknikler kullanarak ve Yandex Disk bulut hizmetini C&C sunucusu olarak kullanan, bir AB ülkesindeki bir kuruluşu hedef alan başka bir NosyDoor varyantı örneği de tespit ettik. Bu NosyDoor varyantının kullanılması, kötü amaçlı yazılımın Çin ile bağlantılı birden fazla tehdit grubu arasında paylaşılabileceğini gösteriyor” açıklamasını yaptı.

ESET, Çin bağlantılı yeni bir tehdit grubunu ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky, LazyGo adı verilen ve bilgi hırsızlığı yapan çeşitli kötü amaçlı yazılımları dağıtan yeni bir Go tabanlı yükleyiciyi kullanan kötü amaçlı yazılım hizmeti modeli (malware-as-a-service (MaaS)) kampanyası tespit etti. Kampanya, Türkçe’ye çevrilmiş John Buchan’ın “39 Basamak” gibi popüler eserlerden, şiir, folklor ve dini pratiklere yönelik Arapça metinlere kadar geniş bir yelpazede arama yapan kullanıcıları hedef alıyor. Sahte e-kitaplar, Tamer Koçel’in “İşletme Yöneticiliği” gibi Türkçe işletme yönetimi kitaplarından çağdaş kurgu eserlerine ve “Umman Sultanlığı’nda Edebi ve Dilbilimsel Hareket” gibi Arapça edebiyat eleştirisi çalışmalarına kadar çeşitlilik gösteriyor.

Kötü amaçlı dosyalar PDF e-kitap gibi görünse de aslında PDF simgesi taşıyan yürütülebilir programlar. Kullanıcılar bu sahte kitapları indirip açtığında, LazyGo yükleyicisi StealC, Vidar ve ArechClient2 gibi bilgi hırsızlarını sistemlere yerleştiriyor. Kaspersky araştırmacıları, API unhooking, AMSI atlatma, ETW devre dışı bırakma ve sanal makine tespitinden kaçınma gibi farklı gizlenme teknikleri kullanan üç farklı LazyGo varyantı tespit etti. 

Saldırganların çaldığı bilgiler şunları içeriyor:

• Tarayıcı verileri: Chrome, Edge, Firefox ve diğer tarayıcılardan kayıtlı parolalar, çerezler, otomatik doldurma verileri ve tarama geçmişi.
• Finansal varlıklar: Kripto para cüzdanı uzantıları, yapılandırma dosyaları ve depolama verileri.
• Geliştirici kimlik bilgileri: AWS kimlik bilgileri, Azure CLI belirteçleri ve Microsoft Identity Platform belirteçleri.
• İletişim platformları: Discord belirteçleri, Telegram Desktop verileri ve Steam oturum bilgileri.
• Sistem bilgileri: Donanım özellikleri, yüklü yazılımlar ve çalışan süreçler.

ArechClient2/SectopRAT ile enfekte olan kurbanlar, saldırganların sistem üzerinde tam uzaktan kontrol elde etmesi nedeniyle ek bir riskle karşı karşıya kalıyor.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Yossef Abdelmonem: “Bu kampanyayı özellikle endişe verici kılan unsur, malware-as-a-service modelinin hedefli sosyal mühendislik ile birleştirilmiş olmasıdır. LazyGo yükleyicisinin farklı varyantları ve gelişmiş kaçınma teknikleri, bunun sıradan bir siber suç girişimi olmadığını; kimlik bilgilerini geniş ölçekte toplamak amacıyla kurgulanmış yapılandırılmış bir operasyon olduğunu gösteriyor. Kurumsal altyapıya derin erişim sağlayabileceği için çalınan geliştirici belirteçleri ve bulut kimlik bilgilerinin oluşturduğu risklere karşı kurumların özellikle dikkatli olması gerekiyor.”

Kaspersky’nin telemetrisi, kampanyanın kamu kurumları, eğitim kurumları, BT hizmetleri ve diğer sektörleri etkilediğini gösteriyor. Tehdit aktörleri, kötü amaçlı e-kitapları GitHub’a ve ele geçirilmiş web sitelerine düzenli olarak yüklemeye devam ettiği için kampanya halen aktif durumda.

Kaspersky uzmanları, kullanıcıların e-kitap indirmeden önce kaynakları doğrulamasını, dosya özelliklerini dikkatle incelemesini ve gelişmiş kaçınma tekniklerini algılayabilecek güncel bir güvenlik çözümü kullanmasını öneriyor. Güvenlik çözümü seçerken, bağımsız testlerle doğrulanmış güçlü kötü amaçlı yazılım tarama yeteneklerine sahip ürünlere yönelmek önem taşıyor. AV-Comparatives tarafından gerçekleştirilen son değerlendirmeye göre, Kaspersky Premium, 9.995 dosyadan oluşan test setinde yüzde 99,99 kötü amaçlı yazılım belirleme oranı göstererek yüksek düzeyde koruma sağladığını kanıtladı.

Siber suçlular, kişisel verileri çalmak için popüler e-kitapları yem olarak kullanıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky Security Network istatistiklerine (Kasım 2024 – Ekim 2025 dönemi) göre finans sektöründeki kullanıcıların yüzde 8,15’i çevrim içi tehditlerle, yüzde 15,81’i ise yerel (cihaz üzerindeki) tehditlerle karşılaştı. Şirketin çözümleri tarafından toplam 1.338.357 bankacılık truva atı saldırısı tespit edildi. Buna ek olarak B2B finans kuruluşlarının yüzde 12,8’i bu dönemde fidye yazılımı saldırısına maruz kaldı; bu oran, 2024’ün aynı dönemine kıyasla benzersiz kullanıcı sayısında yüzde 35,7’lik bir artışa işaret ediyor.

Kaspersky uzmanları, 2025’te finans sektörünü şekillendiren başlıca siber güvenlik trendlerini ve vakaları şöyle özetliyor:

Büyük ölçekli tedarik zinciri saldırıları: Finans sektörü, üçüncü taraf hizmet sağlayıcılarındaki zafiyetlerin ulusal ödeme ağlarına kadar uzanan zincirleme etkiler yarattığı, eşi görülmemiş tedarik zinciri saldırılarıyla karşılaştı. Bu saldırılar, üçüncü taraflara yönelik bir açığın kritik finansal sistemleri dahi etkileyebileceğini ortaya koydu.

Organize suç ve siber suçun kesişimi: Organize suç grupları fiziksel ve dijital yöntemleri birleştirerek daha sofistike ve koordineli saldırılar düzenliyor. Sosyal mühendislik, içeriden manipülasyon ve teknik istismarın birleştiği hibrit tehditler, finans kuruluşları için büyüyen bir risk oluşturdu.

Eski zararlı yazılımlar, yeni dağıtım kanalları: Siber suçlular, e-posta kimlik avcılığından sosyal kanallara yönelerek popüler mesajlaşma uygulamalarını kötü amaçlı yazılım yaymak için kullanmaya başladı. Bankacılık truva atları, mesajlaşma platformlarını yeni dağıtım vektörü olarak kullanacak şekilde yeniden yazılıyor ve geniş ölçekli enfeksiyonlara yol açıyor.

Yapay zekâ ile ölçeklenen kötü amaçlı yazılımlar: 2025’te yapay zekâ destekli zararlı yazılımlar, otomatik yayılım ve kaçınma yetenekleri kazandı. Bu durum, saldırıların daha hızlı yayılmasını ve daha fazla hedefe ulaşmasını sağlıyor. Otomasyon, kötü amaçlı yazılım üretimi ile dağıtımı arasındaki süreyi de belirgin şekilde kısaltıyor.

Mobil bankacılık saldırıları ve NFC dolandırıcılığı: ATS (Automated Transfer System) tekniğini kullanan Android kötü amaçlı yazılımları, kullanıcı fark etmeden işlem tutarlarını ve alıcılarını gerçek zamanlı olarak değiştirebiliyor. NFC tabanlı saldırılar ise hem kalabalık alanlarda fiziksel dolandırıcılık hem de sosyal mühendislik ve sahte banka uygulamaları üzerinden uzaktan dolandırıcılık şeklinde öne çıktı.

Blokzincir tabanlı C2 altyapısının yükselişi: Suç grupları, kötü amaçlı yazılımlara ilişkin komutları blokzincir akıllı sözleşmelerine gömerek Web3 ortamını hedef alıyor ve kripto para hırsızlığı yapıyor. Bu yöntem, altyapının kalıcılığını artırıyor ve kaldırılmasını neredeyse imkânsız hale getiriyor. Blokzincir tabanlı C2 yapıları, geleneksel sunucular kapatılsa dahi saldırganların kontrolü sürdürmesine olanak tanıyor.

Fidye yazılımlarının varlığını sürdürmesi: Finans sektöründe fidye yazılımları hâlâ ciddi bir tehdit oluşturuyor. Kasım 2024 – Ekim 2025 döneminde B2B finans kuruluşlarının yüzde 12,8’i bu saldırılardan etkilendi.

Bazı zararlı yazılım ailelerinin ortadan kaybolması: Belirli zararlı yazılım ailelerinin, faaliyetleri doğrudan ilgili suç gruplarının operasyonlarına bağlı olduğu için zamanla ortadan kalkması bekleniyor.

Kaspersky GReAT Amerika ve Avrupa Birimleri Başkanı Fabio Assolini şunları söyledi: “2025’te finansal siber tehditler hem işletmeleri hem de son kullanıcıları etkileyen son derece karmaşık bir manzara haline geldi. Suç grupları dijital araçları, içeriden erişimi, yapay zekâyı ve blokzinciri bir araya getirerek operasyonlarını ölçeklendirdi. Bu durum, kurumların yalnızca sistemlerini değil, bu sistemleri destekleyen insan ağlarını da güvence altına almasını zorunlu kılıyor.”

Kaspersky’nin 2026 finans sektörü için öngörüleri

WhatsApp üzerinden dağıtılmak üzere yeniden yazılan bankacılık truva atları: Suç gruplarının bankacılık truva atlarını yeniden yazıp WhatsApp gibi mesajlaşma uygulamaları aracılığıyla dağıtması bekleniyor. Bu yöntem özellikle masaüstü tabanlı çevrim içi bankacılığa bağımlı kurum ve kamu yapıları için risk oluşturacak.

Derin sahte/AI tabanlı sosyal mühendislik hizmetlerinde artış: Gerçekçi deepfake üretimi ve yapay zekâ destekli sosyal mühendislik kampanyalarının yeraltı pazarında büyümesi; sahte iş görüşmeleri, sahte teklif dolandırıcılıkları ve KYC doğrulamalarını aşmaya yönelik araçların yaygınlaşması bekleniyor.

Bölgesel bilgi hırsızlarının ortaya çıkışı: Lumma, Redline ve diğer bilgi hırsızlarının faaliyetlerinin sürmesiyle birlikte belirli ülke ve bölgeleri hedef alan yeni bölgesel bilgi hırsızlarının ortaya çıkması ve bu alanın hizmet olarak zararlı yazılım (MaaS) modelini genişletmesi bekleniyor.

NFC ödemelerine yönelik saldırılarda artış: NFC, ödeme sistemlerinin temel teknolojilerinden biri olmaya devam ettikçe bu alana yönelik araçlar, kötü amaçlı yazılımlar ve saldırı türlerinin çeşitlenmesi öngörülüyor.

Agentic AI yapay zekâ kötü amaçlı yazılımlarının yükselişi: Bu yeni nesil kötü amaçlı yazılımlar, çalışma anında davranışını dinamik olarak değiştirebiliyor. Önceden tanımlı komutlara bağlı olmayan Agentic AI zararlılar bulunduğu ortama göre analiz yaparak taktiklerini değiştirebiliyor; bu sayede tek bir zararlı yazılım hem sızma hem veri sızdırma hem de sistem bozma gibi farklı yetenekleri duruma göre sergileyebiliyor.

Klasik dolandırıcılık yöntemlerinin yeni dağıtım kanalları: Dolandırıcılık kullanıcılar için önemli bir tehdit olmaya devam edecek, ancak saldırganlar mesajlaşma platformları ve yeni dijital hizmetlere hızla uyum sağlayarak yöntemlerini değiştirecek.

Fabrika Çıkışlı (Önceden) Enfekte Cihaz Tehdidinin Sürmesi: Triada gibi truva atlarını barındıran sahte ya da kayıt dışı akıllı cihazların (telefon, TV vb.) piyasaya sürülmesi de devam edecek. Bu cihazlar, bankacılık bilgilerini çalabilen gelişmiş kötü amaçlı yazılımlarla önceden enfekte halde geliyor.

Kaspersky uzmanları güvenliği sağlamak için şu önerilerde bulunuyor:

• Hesaplarınızı ve finansal işlemlerinizi düzenli olarak takip ederek şüpheli aktiviteleri kontrol edin.
• Uygulamaları yalnızca resmi mağazalardan indirin ve geliştirici bilgilerinin doğruluğunu teyit edin.
• NFC özelliğini kullanmadığınız durumlarda kapatın ve yetkisiz iletişimi engelleyen cüzdan çözümlerinden yararlanın.
• Kaspersky Premium’un Safe Money özelliğini kullanarak finansal işlemlerinizi güvence altına alın. Bu özellik, bilinen çevrimiçi ödeme sistemlerinin ve bankacılık sitelerinin doğruluğunu kontrol eder.

Finansal kurumlar, insanları, süreçleri ve teknolojiyi bir araya getiren ekosistem temelli bir siber güvenlik stratejisi benimseyebilir:

• Tüm altyapıyı kapsamlı şekilde değerlendirerek zafiyetleri giderin ve gizli riskleri ortaya çıkarabilecek dış uzmanların desteğini değerlendirin.
• Tüm saldırı vektörlerinin izlenmesi ve kontrolü için entegre platformlar kullanın; hızlı tespit ve hızlı müdahaleyi mümkün kılın. Bu amaçla  Kaspersky Next ürün ailesi, gerçek zamanlı koruma, tehdit görünürlüğü, analiz, EDR/XDR ve ölçeklenebilirlik sağlayarak her büyüklükteki ve her sektördeki organizasyonlar için çözüm sunar.
• Tehdit ortamını yakından takip etmek için Kaspersky threat intelligence ve analitik hizmetlerinden yararlanın; düzenli farkındalık eğitimleriyle tehditleri tanıyabilen ve güvenlik politikalarını uygulayan bir “insan güvenlik duvarı” oluşturun.

Riskleri azaltmaya yönelik uygun siber güvenlik çözümleri hakkında daha fazla bilgi edinmek için finansal kuruluşlar web sitesini ziyaret edebilir.

Kaspersky Raporu: Finans Sektörü 2025’te Yapay Zeka, Blokzincir ve Organize Suç Tehditlerinin Hedefi Oldu yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Siber güvenlik alanında dünya lideri olan ESET, Polonya’dan kötü amaçlı yazılım tarama platformu VirusTotal’e yüklenen bir HybridPetya önyükleme kiti ve fidye yazılımı keşfetti. Örnek, kötü şöhretli Petya/NotPetya kötü amaçlı yazılımının bir kopyası; ancak UEFI tabanlı sistemleri tehlikeye atma ve CVE-2024-7344’ü silah olarak kullanarak eski sistemlerdeki UEFI Güvenli Önyüklemeyi atlatma yeteneğine sahip. ESET telemetri verileri, HybridPetya’nın henüz gerçek ortamda kullanıldığına dair herhangi bir işaret göstermiyor. 

Keşfi yapan ESET araştırmacısı Martin Smolár yaptığı açıklamada “2025 yılının Temmuz ayı sonlarında, notpetyanew.exe ve benzeri çeşitli dosya adları altında şüpheli fidye yazılımı örnekleri ile karşılaştık. Bu örnekler, 2017 yılında Ukrayna ve diğer birçok ülkeyi vuran, kötü şöhretli yıkıcı kötü amaçlı yazılımla bir bağlantı olduğunu düşündürüyor. NotPetya saldırısı, toplamda 10 milyar dolardan fazla hasara yol açan, tarihin en yıkıcı siber saldırısı olarak kabul ediliyor. Yeni keşfedilen örneklerin hem Petya hem de NotPetya ile ortak özellikleri nedeniyle bu yeni kötü amaçlı yazılıma HybridPetya adını verdik” dedi.

Kurbanın kişisel kurulum anahtarını oluşturmak için kullanılan algoritma, orijinal NotPetya’dan farklı olarak, kötü amaçlı yazılım operatörünün kurbanın kişisel kurulum anahtarlarından şifre çözme anahtarını yeniden oluşturmasına olanak tanıyor. Böylece HybridPetya, Petya’ya daha çok benzeyen normal bir fidye yazılımı olarak işlevini sürdürüyor. Ayrıca HybridPetya, EFI Sistem Bölümüne kötü amaçlı bir EFI uygulaması yükleyerek modern UEFI tabanlı sistemleri de tehlikeye atabilir. Dağıtılan UEFI uygulaması, NTFS ile ilgili Ana Dosya Tablosu (MFT) dosyasının şifrelenmesinden sorumlu. Bu dosya, NTFS formatlı bölümdeki tüm dosyalar hakkında bilgi içeren önemli bir meta veri dosyasıdır. 

Smolár “Biraz daha araştırma yaptıktan sonra, VirusTotal’de daha da ilginç bir şey keşfettik: Çok benzer bir HybridPetya UEFI uygulaması da dâhil olmak üzere tüm EFI Sistem Bölümü içeriğini içeren bir arşiv ancak bu sefer CVE-2024-7344’e karşı savunmasız, özel olarak biçimlendirilmiş bir cloak.dat dosyasında paketlenmiş olarak. CVE-2024-7344, ekibimizin 2025’in başlarında ortaya çıkardığı UEFI Güvenli Önyükleme atlama güvenlik açığı,” dedi. Ocak 2025 tarihli ESET yayınları, istismarın ayrıntılarını kasıtlı olarak vermemişti; bu nedenle, kötü amaçlı yazılımın yazarı, güvenlik açığı bulunan uygulamayı kendi başına tersine mühendislik yaparak doğru cloak.dat dosya formatını yeniden oluşturmuş olabilir. 

ESET telemetri verileri, HybridPetya’nın henüz aktif olarak kullanılmadığını gösteriyor; bu nedenle HybridPetya, bir güvenlik araştırmacısı veya bilinmeyen bir tehdit aktörü tarafından geliştirilen bir kavram kanıtı olabilir. Ayrıca bu kötü amaçlı yazılım, orijinal NotPetya’da görülen agresif ağ yayılımını sergilemiyor.

ESET’ten, Petya’nın mirasçısı HybridPetya için kritik uyarı yazısı ilk önce En Gazete üzerinde ortaya çıktı.