Stealerium adlı bir infostealer malware, kullanıcıların tarayıcılarında içeriği algılayarak ekran görüntüsü ve webcam fotoğrafı alıyor. Araştırmalar, siber suçluların otomatik sextortion taktiklerine yöneldiğini ortaya koyuyor. Bu, bireysel hedeflere odaklanan yeni bir siber tehdit trendi demek.
Detaylar haberimizde…
Malware’ın Özellikleri ve Çalışma Prensibi
Stealerium, 2025’te ortaya çıkan ve açık kaynaklı bir infostealer malware. Bu tür yazılımlar, kurbanın bilgisayarına bulaştıktan sonra banka bilgileri, kullanıcı adı/şifreler ve kripto cüzdan anahtarları gibi hassas verileri çalıyor. Ancak Stealerium, standart özelliklerinin ötesinde bir yenilik sunuyor: Kullanıcının tarayıcı URL’lerini izleyerek “sex” veya “porn” gibi NSFW kelimeleri içeren sayfaları algılıyor. Bu kelimeler tetiklendiğinde, malware otomatik olarak tarayıcı sekmesinin ekran görüntüsünü alıyor ve aynı anda webcam’den kurbanın fotoğrafını çekiyor. Bu görüntüleri hacker’a göndererek şantaj (sextortion) için malzeme sağlıyor.
Stealerium’un geliştiricisi witchfindertr, malware’ı GitHub’da ücretsiz olarak paylaşıyor. Hacker’lar, kelime listesini özelleştirebiliyor, bu da tehdidi daha kişiselleştirilmiş hale getiriyor. Proofpoint araştırmacıları, bu özelliğin “kişisel gizliliği ihlal eden yeni bir katman” eklediğini belirtiyor. Malware, Telegram, Discord veya SMTP gibi kanallar üzerinden verileri hacker’a iletiyor.
The Verge’in benzer bir analizinde, bu tür yazılımların bireysel kullanıcıları hedefleyerek büyük şirketlerden kaçındığını vurguluyor. Hacker’lar, kurbanları utandırarak raporlama ihtimalini azaltıyor.
Keşif ve Analiz
Proofpoint, Stealerium’u Mayıs 2025’ten beri izliyor. Araştırmacılar, iki hacker grubunun on binlerce e-posta kampanyasında bu malware’ı kullandığını tespit etti. Kampanyalar, sahte fatura veya ödeme e-postalarıyla kurbanları kandırıyor; hedefler arasında misafirperverlik, eğitim ve finans sektörleri var. Proofpoint’ten Selena Larson, “Infostealer’lar her şeyi çalıyor, ancak bu özellik gizliliği daha da ihlal ediyor,” diyor. Güvenlik şirketi SecurityScorecard da Stealerium hakkında kapsamlı bir rapor hazırladı. Rapora buradan ulaşabilirsiniz.
Malware’ın açık kaynaklı olması, yayılmasını kolaylaştırıyor. Stealerium’un sextortion özelliği, hacker’ların bireysel para kazanma stratejisini yansıtıyor. Proofpoint, henüz belirli bir kurban tespit etmedi, ancak özelliğin varlığı kullanıldığını ima ediyor.
BBC’nin 2025 siber güvenlik raporunda, benzer yazılımların artış gösterdiği belirtiliyor. Reuters ise, sextortion kampanyalarının yılda milyonlarca dolarlık zarara yol açtığını bildiriyor.
| Anti-Analiz Aracı Adı | Detaylar |
| Hata ayıklayıcı | Enfekte sistemde bir hata ayıklayıcının mevcut olup olmadığını kontrol etmek için isDebuggerPresent() API’sini kullanın |
| Emülatör | Tarih ve saati karşılaştırarak sistemin bir emülatörde çalışıp çalışmadığını kontrol edin |
| Barındırma | Sistem IP adresini, deneme ortamlarıyla ilişkili bilinen IP adresleriyle karşılaştırın (örneğin, VirusTotal, anyRun) |
| İşlemler | Enfekte sistemde belirli işlemlerin çalışıp çalışmadığını kontrol edin, örneğin, process hacker, netstat, netmon, tcpview, wireshark, filemon, regmon, cain |
| Kum Havuzu | Sandbox ortamlarında yaygın olarak kullanılan belirli DLL dosyalarının varlığını kontrol edin |
| Sanal Kutu | İşletim sistemi ortamını kontrol edin |
Tuş kaydedici
Stealerium, kurbanın klavyesini izler ve bilgileri günlük dosyalarında depolar. Ayrıca web kamerası ve masaüstünden ekran görüntüleri alır; bunlar da günlük dosyalarında depolanır ve saldırganın sunucusuna gönderilir.
Tarayıcı
Hırsızlık yazılımı özellikle Chromium tabanlı (örneğin Chrome, Edge) ve Firefox web tarayıcılarını hedef alır. Çerezler, yer imleri, tarama geçmişi, otomatik doldurma bilgileri, parolalar, tarayıcı uzantıları ve kredi kartı bilgileri gibi verileri toplar ve iletir. Ayrıca, tarayıcılar aracılığıyla erişilen bankacılık ve kripto para hizmetlerini de hedef alır.
Şekil 10 – Toplanan hassas bilgiler
Hesap Bilgileri
Kötü amaçlı yazılım, çok çeşitli diğer kaynaklardan da bilgi toplar. Bunlara Discord belirteçleri, FileZilla ana bilgisayar verileri, otomatik çalıştırma modülleri, dizin yapısı ve Outlook e-posta hesaplarından gelen veriler dahildir.
NordVPN, OpenVPN ve ProtonVPN gibi VPN istemcilerinin ayrıntılarını toplar. BattleNet, Minecraft ve Uplay gibi popüler oyunların yanı sıra mesajlaşma programlarından (Skype, Element, Telegram, Pidgin) ve kripto cüzdanlarından (Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, AtomicWallet, Guarda, Coinomi, Litecoin, Dash, Bitcoin) oturum verilerini yakalar.
Şekil 11 – Fonksiyonlar aracılığıyla toplanan sistem bilgileri
Mağdur sistemi bilgileri
Stealerium, IP bilgileri, sistem bilgileri, çalışan işlem verileri, dizin yapısı ayrıntıları ve daha fazlası dahil olmak üzere başka verileri de toplamaya çalışır (Şekil 11). Tüm bunlar bir saldırgan tarafından kötü amaçlı amaçlar için kullanılabilir.
Aşağıdaki tabloda, sızdırabileceği bilgi türleri listelenmiştir:
| Veri Hırsızlığı | Detaylar |
| AktifWindows | Çalışan sistem süreçlerinin listesini yürütülebilir yollarıyla birlikte toplar ve hepsini bir “Windows.txt” dosyasına kaydeder. |
| MasaüstüEkran Görüntüsü | Sistem masaüstü ekran görüntüsünü “Desktop.jpg” dosyasına kaydeder. |
| Dizin Ağacı | Kötü amaçlı yazılım, bir klasör listesi (örneğin Masaüstü, Belgelerim, Resimlerim, Videolarım, Başlangıç, İndirilenler, Dropbox, OneDrive, TEMP) içerir ve içindeki tüm alt klasörleri ve dosyaları inceler. Bu verileri bir ağaç yapısı olarak depolar. |
| Dosya Yakalayıcı | Masaüstü, Belgelerim, Resimlerim, İndirilenler, Dropbox, OneDrive ve TEMP dahil olmak üzere belirli klasörlerdeki tüm dosyaları toplar. |
| Bilgi | IP, makine ve sanallaştırma ayrıntıları dahil olmak üzere belirli sistem bilgilerini toplar ve hepsini bir “info.txt” dosyasına kaydeder. |
| Yüklü Uygulamalar | “SELECT * FROM Win32_Product” sorgusunu çalıştırarak yüklü uygulama ayrıntılarını toplar. Ayrıntılar arasında uygulama adı, sürümü ve yayıncısı bulunur. Kötü amaçlı yazılım bu verileri “Apps.txt” olarak kaydeder. |
| İşlem Listesi | “SELECT ExecutablePath, ProcessID FROM Win32_Process” sorgusu aracılığıyla sistem dışı işlemlerin yürütme yolunu ve işlem kimliğini toplar. Bu veriler “Process.txt” dosyasında kaydedilir. |
| ÜrünAnahtarı | Kötü amaçlı yazılım, sistem kayıt defterindeki SOFTWARE\Microsoft\Windows NT\CurrentVersion\DigitalProductId konumundan Windows ürün anahtarını alır. Anahtar, “ProductKey.txt” dosyasında saklanır. |
| Sistem Bilgisi | Sistemin genel IP’sini, yerel IP’sini, varsayılan ağ geçidini, kullanıcı adını, bilgisayar adını, işletim sistemi sürümünü, CPU adını, GPU adını, RAM miktarını, sistem tarihini, ekran ölçümlerini, pil bilgilerini, bağlı kamera sayısını, sanallaştırma yazılımının herhangi bir göstergesini (örneğin, VirtualBox, Sandbox, Emulator, Debugger), çalışan işlem ayrıntılarını, barındırma veya bulut hizmetlerinin herhangi bir göstergesini ve yüklü herhangi bir antivirüs yazılımının ayrıntılarını toplar. |
| Web KamerasıEkran Görüntüsü | “SELECT * FROM Win32_PnPEntity WHERE (PNPClass = ‘Image’ OR PNPClass = ‘Camera’)” sorgusunu çalıştırarak bağlı kameraların ayrıntılarını (örneğin üretici, cihaz adı, açıklama) toplar. |
| Wifi | “chcp 65001 && netsh wlan show networks mode=bssid” komutunu çalıştırarak kullanılabilir Wi-Fi ağlarını tarar. Bu komut, ağ adını (SSID), sinyal gücünü, kanalı ve BSSID’yi döndürerek verileri “ScanningNetworks.txt” dosyasına kaydeder. |
Siber Suçlarda AI ve Otomasyonun Rolü
Stealerium, siber suçlarda otomasyonun yükselişini gösteriyor. Wired’ın analizinde, hacker’ların yapay zeka (AI) ile otomatik şantaj yaptığını belirtiyor. Bu, manuel yöntemlerden (kurbanı kandırarak çıplak fotoğraf almak) otomatik olanlara geçişi temsil ediyor. Proofpoint’ten Kyle Cucci, “Porno izleyenlerin webcam fotoğraflarını otomatik çeken malware neredeyse duyulmamış,” diyor.
ESET’in 2019’da keşfettiği benzer bir malware, Fransızca konuşan kullanıcıları hedeflemişti. The Verge’e göre, bu trend, ransomware’dan bireysel hedeflere kayışı yansıtıyor. Hacker’lar, büyük şirketleri hedeflemek yerine bireyleri utandırarak düşük riskle kazanç sağlıyor.
Reuters’ın 2025 raporunda, siber suçların %20’sinin AI destekli olduğu belirtiliyor. Bu, teknik becerisi düşük hacker’ların bile karmaşık saldırılar düzenlemesini sağlıyor.
Benzer Örnekler ve Trendler
Sextortion, uzun zamandır siber suçların bir parçası. Wired’a göre, hacker’lar kurbanın ev adresini Google Maps’ten alıp “porno izlerken fotoğrafın var” diyerek şantaj yapıyor. 2024’te benzer kampanyalar arttı; bazıları kripto para talep ediyor.
Proofpoint, Stealerium’un küçük hacker grupları tarafından kullanıldığını belirtiyor. BBC’nin raporunda, sextortion’un yıllık zararı milyar dolarlara ulaşıyor. The Verge, bu suçların raporlanmama oranının yüksek olduğunu vurguluyor; kurbanlar utanç nedeniyle sessiz kalıyor.
2025’te, AI destekli malware’lar artıyor. Reuters, siber suçların küresel ekonomiye maliyetinin 10 trilyon doları aştığını bildiriyor.
Korunma Yöntemleri
Stealerium gibi tehditlere karşı önlemler almak kritik. Proofpoint, e-posta eklerini açmadan tarama öneriyor. Webcam’leri bantlamak veya kapatmak, fotoğraf çekilmesini önleyebilir.
The Verge’e göre, güçlü şifreler, iki faktörlü doğrulama ve güncel antivirüs yazılımları şart. BBC, sextortion durumunda polise başvurmayı ve utanç duymamayı tavsiye ediyor.
Türkiye’de, BTK’nın 2025 raporuna göre, siber suçlar %15 arttı. X’te bir kullanıcı, “Malware’lara karşı farkındalık şart,” diyor. Yerel uzmanlar, ücretsiz araçlar (örneğin Malwarebytes) öneriyor.
Sonuç: Siber Tehditlerin Evrimi
Stealerium, siber suçların otomatikleştiğini gösteriyor. Bireysel gizliliği hedefleyen bu malware, hacker’lara düşük riskli kazanç sağlıyor. Kullanıcılar, farkındalık ve güvenlik önlemleriyle korunmalı. Stealerium, siber suçların evriminde yeni bir sayfa açsa da, tarihte iz bırakan malware saldırıları, bu tehdidin kökenlerini anlamak için önemli. Yakın tarihteki en büyük malware saldırlarını konu ettiğimiz haberimize göz atmayı unutmayın.
Sizce otomatik şantaj yazılımları siber güvenlikte yeni bir dönem mi başlatıyor? Yorumlarınızı paylaşın!
