Информационный вор Xillen Stealer, написанный на Python, выпустил масштабное обновление до версий 4 и 5. Это вредоносное ПО демонстрирует растущую тенденцию киберпреступников использовать передовые методы для обхода систем искусственного интеллекта и целевых атак на контейнерные среды.
Описание
Новые версии степлера значительно расширили свой функционал. Теперь он способен красть учетные данные более чем из 100 браузеров, криптовалюту из 70 кошельков, а также данные менеджеров паролей. Особую озабоченность вызывает его нацеленность на корпоративную инфраструктуру: Xillen Stealer теперь собирает конфигурации и секреты Kubernetes, сканирует окружения Docker и перехватывает токены систем единого входа (SSO).
Вредоносная программа активно использует полиморфные движки для изменения своего кода и усложнения детектирования. Механизм устойчивости (persistence) позволяет ей закрепляться в системе, а модуль AIEvasionEngine специально разработан для противодействия системам защиты на основе ИИ. Этот модуль имитирует поведение легитимных пользователей, вносит статистический шум, рандомизирует паттерны выполнения и маскирует использование ресурсов.
Технический анализ выявил амбициозные, но пока не полностью реализованные функции. Класс AITargetDetection задуман для идентификации высокоценных целей с помощью машинного обучения, однако на текущий момент использует лишь правила на основе ключевых слов. Тем не менее, сама эта концепция указывает на потенциальное будущее внедрение ИИ в кибератаки.
Инфраструктура Xillen Stealer включает в себя P2P-движок для управления командным сервером через блокчейн-транзакции и анонимные сети. Для эксфильтрации данных используются техники стеганографии, позволяющие скрывать информацию в изображениях, метаданных файлов и даже незанятом пространстве диска.
Вредоносная программа распространяется через Telegram-каналы, где предлагаются различные лицензии. По данным исследователей, за проектом может стоять группа Xillen Killers, которая позиционирует себя как часть русскоязычного ИТ-сообщества и заявляет о нескольких громких компрометациях.
Эксперты отмечают, что хотя некоторые компоненты Xillen Stealer остаются не до конца разработанными, широкий спектр его возможностей сигнализирует о появлении нового сложного инструмента в арсенале киберпреступников. Намерение использовать ИИ для улучшения таргетирования атак, даже пока не реализованное, демонстрирует четкий вектор развития современных угроз.
Индикаторы компрометации
URLs
- https://github.com/BengaminButton/XillenStealer
- https://github.com/BengaminButton/XillenStealer/commit/9d9f105df4a6b20613e3a7c55379dcbf4d1ef465
MD5
- 3133fe7dc7b690264ee4f0fb6d867946
- 395350d9cfbf32cef74357fd9cb66134
- F3ce485b669e7c18b66d09418e979468
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | rule Xillen_v5_Memory_Indicator { meta: description = "Detects Xillen v5 Python modules in memory" author = "Threat Intelligence Team" date = "2025-11-24" threat_level = "High" strings: $s1 = "AITargetDetection" $s2 = "AIEvasionEngine" $s3 = "Beng/jaminButton" nocase $s4 = "wallet.dat" $s5 = "/.kube/config" condition: 2 of ($s1, $s2, $s3) or ($s1 and ($s4 or $s5)) } |
