Kaspersky Digital Footprint Intelligence tarafından gerçekleştirilen araştırmada, 2025 yılında karanlık webde tespit edilen 5 milyon infostealer günlük kaydı analiz edilmiştir. Bulgulara göre, bilgi hırsızlığı enfeksiyonlarının yaklaşık %35'i Windows geçici dizini (C:\Users\AppData\Local\Temp) üzerinden yayılmaktadır. Bu klasör internet üzerinden indirilen dosyaların geçici depolama alanı olarak işlev görmekte ve enfeksiyonların önemli bölümü, kullanıcıların indirdikleri dosyaları doğrudan çalıştırması sonucunda gerçekleşmektedir. 2024'e kıyasla bu tür saldırılarda %59 artış yaşanmıştır.
İkinci en yaygın enfeksiyon kaynağı C:\Windows\Microsoft.NET\Framework\ dizini olup, tüm vakaların yaklaşık %32'sini oluşturmaktadır. Bu yol, zararlı yazılımların tespit edilmekten kaçınmak amacıyla meşru sistem süreçlerine enjekte edildiği ve "living off the land" tekniklerinin kullanıldığı saldırılarla ilişkilendirilmektedir.
Araştırma, enfeksiyonların çoğunlukla güvenilir olmayan kaynaklardan yazılım indirmek ve yasa dışı etkinleştirme aracı kullanmak gibi riskli kullanıcı davranışlarından kaynaklandığını göstermektedir. Zararlı dosyalar meşru yazılım kurulum paketleri, lisans etkinleştiricileri veya oyun modifikasyonları olarak gösterilerek dağıtılmakta, kurbanlar ise dosyaları çalıştırmadan önce güvenlik yazılımlarını devre dışı bırakmaktadır.
