Το Xillen Stealer, ένας εξελιγμένος κλέφτης πληροφοριών που βασίζεται σε Python, έχει αναδειχθεί ως σημαντική απειλή στο τοπίο του κυβερνοεγκλήματος.
Αρχικά αναγνωρίστηκε από τη Cyfirma τον Σεπτέμβριο του 2025, αυτό το κακόβουλο λογισμικό πολλαπλών πλατφορμών εξελίχθηκε πρόσφατα στις εκδόσεις 4 και 5, εισάγοντας ένα επικίνδυνο οπλοστάσιο χαρακτηριστικών που έχουν σχεδιαστεί για να κλέβουν ευαίσθητα διαπιστευτήρια, πορτοφόλια κρυπτονομισμάτων και πληροφορίες συστήματος, αποφεύγοντας τα σύγχρονα συστήματα ασφαλείας.
Το κακόβουλο λογισμικό στοχεύει δεδομένα σε περισσότερα από 100 προγράμματα περιήγησης και πάνω από 70 πορτοφόλια κρυπτονομισμάτων, τοποθετώντας τον εαυτό του ως ένα ολοκληρωμένο εργαλείο συλλογής διαπιστευτηρίων που διατίθεται στο εμπόριο μέσω καναλιών Telegram.
Το κακόβουλο λογισμικό λειτουργεί μέσω μιας διεπαφής με επαγγελματική εμφάνιση που επιτρέπει στους εισβολείς να διαχειρίζονται δεδομένα που έχουν διεισδύσει, να παρακολουθούν μολύνσεις και να προβάλλουν τις ρυθμίσεις διαμόρφωσης.
Η λειτουργικότητα του Xillen Stealer εκτείνεται πολύ πέρα από την κλοπή βασικών πληροφοριών.
Καταγράφει δεδομένα προγράμματος περιήγησης, συμπεριλαμβανομένων ιστορικού, cookies και αποθηκευμένων κωδικών πρόσβασης, ενώ ταυτόχρονα στοχεύει διαχειριστές κωδικών πρόσβασης όπως το OnePass, το LastPass, το BitWarden και το Dashlane.
Ο κλέφτης εστιάζει επίσης στη συλλογή διαπιστευτηρίων προγραμματιστή, διαμορφώσεων cloud από AWS, GCP και Azure, μαζί με κλειδιά SSH και πληροφορίες σύνδεσης βάσης δεδομένων.
Αναλυτές ασφαλείας Darktrace διάσημος ότι οι τελευταίες εκδόσεις εισάγουν μια καινοτόμο προσέγγιση για τη στόχευση θυμάτων υψηλής αξίας.
Το κακόβουλο λογισμικό περιλαμβάνει μια κλάση AITargetDetection που έχει σχεδιαστεί για να προσδιορίζει πολύτιμους στόχους με βάση σταθμισμένους δείκτες και συγκεκριμένες λέξεις-κλειδιά.
Αναζητά πορτοφόλια κρυπτονομισμάτων, τραπεζικά διαπιστευτήρια, λογαριασμούς premium και πρόσβαση προγραμματιστή, ενώ δίνει προτεραιότητα στα θύματα σε πλούσιες χώρες, όπως οι Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, η Γερμανία και η Ιαπωνία.
Αν και η εφαρμογή βασίζεται επί του παρόντος στην αντιστοίχιση προτύπων βάσει κανόνων και όχι στην πραγματική μηχανική μάθηση, δείχνει πώς οι φορείς απειλών σχεδιάζουν να ενσωματώσουν την τεχνητή νοημοσύνη σε μελλοντικές καμπάνιες.
Xillen Stealer
Η πιο ανησυχητική πτυχή του Xillen Stealer έγκειται στις προηγμένες δυνατότητες αποφυγής του. Η ενότητα AIEvasionEngine χρησιμοποιεί πολλαπλές τεχνικές για την παράκαμψη συστημάτων ασφαλείας.
.webp.jpeg)
Αυτά περιλαμβάνουν μίμηση συμπεριφοράς που προσομοιώνει νόμιμες ενέργειες χρήστη, έγχυση θορύβου για σύγχυση ταξινομητών συμπεριφοράς, τυχαιοποίηση χρονισμού με ακανόνιστες καθυστερήσεις και καμουφλάζ πόρων που έχει σχεδιαστεί για να μιμείται κανονικές εφαρμογές.
Το κακόβουλο λογισμικό χρησιμοποιεί περαιτέρω συσκότιση κλήσεων API και τροποποιήσεις μοτίβου πρόσβασης στη μνήμη για να νικήσει τα συστήματα ανίχνευσης που βασίζονται σε μηχανική μάθηση.
Επιπλέον, ο Polymorphic Engine μετασχηματίζει τον κώδικα μέσω αντικατάστασης εντολών, συσκότισης ροής ελέγχου και έγχυσης νεκρού κώδικα για να διασφαλίσει ότι κάθε δείγμα εμφανίζεται μοναδικό, αποτρέποντας την ανίχνευση που βασίζεται στην υπογραφή.
Για την εξαγωγή δεδομένων, το Xillen Stealer εφαρμόζει μια δομή εντολών και ελέγχου peer-to-peer που αξιοποιεί τις συναλλαγές blockchain, ανωνυμοποιεί δίκτυα όπως το Tor και το I2P και κατανεμημένα συστήματα αρχείων.
Το κακόβουλο λογισμικό δημιουργεί αναφορές HTML και TXT που περιέχουν κλεμμένα δεδομένα και τα στέλνει στους λογαριασμούς Telegram των εισβολέων.
Οι επαγγελματίες ασφάλειας πρέπει να παραμείνουν σε επαγρύπνηση έναντι αυτής της εξελισσόμενης απειλής, καθώς ο συνδυασμός της κλοπής διαπιστευτηρίων, της αποφυγής εντοπισμού και των δυνατοτήτων προσαρμοστικής στόχευσης αντιπροσωπεύει σημαντικό κίνδυνο τόσο για μεμονωμένους χρήστες όσο και για εταιρικά περιβάλλοντα.
