Dijital dünyada oturum açma bilgileri, finansal veriler ve kripto para cüzdanları gibi hassas bilgileri hedef alan bilgi hırsızı yazılımlar, kalıcı tehditler arasında yer almaya devam ediyor. Siber güvenlik şirketi ESET, yakın zamanda bilgi hırsızlarının ana yük olduğu çok sayıda siber saldırı kampanyasını takip etti. Agent Tesla, Lumma Stealer, FormBook ve HoudRAT gibi yazılımlar faaliyetlerini sürdürürken, ESET Tehdit Raporu H1 2025’e göre bu yılın ilk yarısında SnakeStealer diğerlerinin önüne geçti.

SnakeStealer’ın yaygınlaşması, siber suç pazarının hızlı adapte oluşunu ve siber suç endüstrisinin giderek profesyonelleştiğini gösteriyor. Bu profesyonelleşme, saldırganların büyük ölçekte veri çalmasını kolaylaştırıyor. Bir bilgi hırsızı yazılımı ortadan kalktığında, benzer taktiklere sahip başka bir yazılım bu boşluğu dolduruyor.

ESET ürünleri tarafından çoğunlukla MSIL/Spy.Agent.AES olarak tespit edilen SnakeStealer, ilk olarak 2019’da ortaya çıktı ve mevcut adını almadan önce yeraltı forumlarında 404 Keylogger veya 404 Crypter olarak da pazarlanıyordu.

Dağıtım yöntemleri ve yayılım

SnakeStealer, ilk varyantlarında kötü amaçlı yazılım yüklerini barındırmak için Discord’u kullanıyordu ve kurbanlar kötü amaçlı bir e-posta ekini açarak farkında olmadan yüklemeyi gerçekleştiriyordu. 2020 ve 2021 yıllarında ilk büyük faaliyet dalgasına ulaşan yazılım, belirli bir bölgeye odaklanmadan küresel olarak yayıldı.

Dağıtım yöntemleri zamanla çeşitlendi. Kimlik avı ekleri hâlâ birincil yayılma yolu olmaya devam ediyor, ancak yükün kendisi şifre korumalı ZIP, RTF, ISO ve PDF dosyaları gibi çeşitli biçimlerde gizlenebiliyor veya diğer kötü amaçlı yazılımlarla paketlenebiliyor. Bazı durumlarda SnakeStealer, korsan yazılımların veya sahte uygulamaların içine gizlenmiş olarak da tespit edilebiliyor.

Hizmet Olarak Kötü Amaçlı Yazılım Modeli (MaaS)

Diğer modern tehditler gibi, SnakeStealer da Hizmet olarak Kötü Amaçlı Yazılım (MaaS) iş modelini kullanıyor. Yazılımın operatörleri, teknik destek ve güncellemelerle birlikte kötü amaçlı yazılıma erişimi kiralamakta veya satmakta, bu da düşük beceriye sahip saldırganların bile kendi kampanyalarını başlatmasına imkan tanıyor.

Agent Tesla’nın düşüşe geçmesi ve geliştirici desteğini kaybetmesinin ardından yeraltı Telegram kanalları, SnakeStealer’ı onun halefi olarak önermeye başladı. Bu destek, MaaS kurulum kolaylığı ile birleşince SnakeStealer’ı öne çıkardı. ESET telemetrisinin izlediği küresel bilgi hırsızlığı tespitlerinin yaklaşık beşte birinden SnakeStealer sorumlu hale geldi.

Bilgi hırsızlarına karşı korunma yolları

Bireysel kullanıcılar ve işletmeler, SnakeStealer gibi bilgi hırsızlarına karşı riski azaltmak için şu adımları uygulayabilir:

Şüpheli Mesajlara Dikkat: Bilinmeyen gönderenlerden gelen ekleri ve bağlantıları, meşru görünseler bile potansiyel tehdit olarak değerlendirin ve diğer kanallar aracılığıyla gönderenle doğrulayın.

Güncelleme Önemli: Sistem ve uygulamaları güncel tutarak, bilinen güvenlik açıklarından kaynaklanan riskleri azaltın.

MFA Kullanımı: Mümkün olduğunda çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin. Parolanız çalınsa bile MFA yetkisiz oturum açma girişimlerini engelleyebilir.

İhlal Şüphesi: Güvenliğinizin ihlal edildiğinden şüpheleniyorsanız, temiz bir cihazdan tüm parolalarınızı değiştirin, açık oturumları iptal edin ve hesaplarınızdaki şüpheli faaliyetleri izleyin.

Güvenlik Yazılımları: Tüm cihazlarda, hem masaüstü hem de mobil cihazlarda güvenlik yazılımları kullanın.