Компания CYFIRMA провела детальный анализ нового вредоносного ПО XillenStealer, который представляет собой открытый кражущий информацию стилер, написанный на Python и доступный на GitHub. Разработка связана с пользователем BengaminButton, а русскоязычные комментарии в коде указывают на происхождение автора или группы из русскоязычного сегмента интернета. Угроза активно нацелена на кражу системных данных, учетных записей браузеров, криптовалютные кошельки и сессии мессенджеров.
Описание
XillenStealer использует модульный подход, позволяя злоумышленникам гибко настраивать функции через графический интерфейс Builder V3.0. Для доступа к панели управления требуется пароль, проверяемый по хешу SHA-256. Среди настроек - указание имени стилера, токена Telegram-бота и ID чата для отправки данных. Операторы могут включать или отключать модули для атак на Discord, Steam, криптокошельки, сессии Telegram, игровые лаунчеры, а также механизмы устойчивости.
Сбор информации включает извлечение идентификаторов устройства, характеристик оборудования, данных сетевых настроек, учетных записей браузеров (включая Chrome и Edge), а также сделанных скриншотов. Для противодействия анализу стилер проверяет окружение на наличие признаков виртуальных машин и песочниц, используя, среди прочего, вызов IsDebuggerPresent. Также реализована попытка инжектации кода в процесс explorer.exe, однако в текущей версии она не является успешной.
Собранные данные шифруются, упаковываются в структурированные отчёты в форматах TXT и HTML и передаются через Telegram-бота. Если размер архива превышает 45 МБ, он автоматически разбивается на части для надёжной отправки. Для обеспечения постоянного доступа XillenStealer регистрирует в планировщике заданий Windows задачу с названием WindowsSystemMaintenance, запускаемую при каждом входе пользователя в систему.
Инфраструктура группы Xillen Killers включает специализированный форум и Telegram-каналы для поддержки пользователей, распространения инструментов и обработки платежей. Помимо стилера, группа предлагает услуги заказа виртуальных номеров, платформу для DDoS-атак, фреймворки для эксплуатации уязвимостей и утилиты для тестирования на проникновение.
По данным аналитиков, главный разработчик BengaminButton представляется 15-летним специалистом по кибербезопасности и full-стек разработчиком, владеющим множеством языков программирования. Его деятельность в рамках группы сосредоточена на создании инструментов и решений в области безопасности.
С учётом открытого исходного кода, низкого порога вхождения и развитой инфраструктуры, XillenStealer оценивается как серьёзная угроза как для частных пользователей, так и для организаций. Рекомендуется усилить мониторинг необычной активности, связанной с браузерами, криптокошельками и мессенджерами, а также использовать актуальные антивирусные решения и системы обнаружения вторжений.
YARA
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | rule XillenStealer { meta: author = “Cyfirma Researcher” description = “Detects XillenStealer malware based on strings, filenames, and behaviors” date = “2025-09-11” threat_type = “Information Stealer / Credential Theft” strings: // Strings observed in HTML/Text reports $str1 = “XillenStealerAntiDot.py” $str2 = “steler.py” $str3 = “install_deps.bat” $str4 = “install_deps.sh” $str5 = “XillenStealer” // Suspicious API/function strings $func1 = “IsDebuggerPresent” condition: uint16(0) == 0x5A4D and // PE file signature (any of ($str*) or any of ($func*)) } |
