Xillen Stealer: recursos avançados ignoram a detecção de IA e roubam dados do gerenciador de senhas – Against Invaders

Xillen Stealer: recursos avançados ignoram a detecção de IA e roubam dados do gerenciador de senhas - Against Invaders

A ferramenta de roubo de informações baseada em Python, Xillen Stealer, atingiu as versões 4 e 5, expandindo significativamente seus recursos e funcionalidades de segmentação entre plataformas.

Documentado inicialmente pela Cyfirma em setembro de 2025, este infostealer multiplataforma tem como alvo dados confidenciais, incluindo credenciais, carteiras de criptomoedas, informações do sistema e dados do navegador, ao mesmo tempo que emprega técnicas sofisticadas de anti-análise para evitar a detecção.

As atualizações mais recentes introduzem funcionalidades substancialmente expandidas que transformam o Xillen Stealer em uma plataforma abrangente de coleta de dados.

O malware agora tem como alvo credenciais de gerenciadores de senhas, contas de mídia social e dados de navegadores de mais de 100 navegadores.

Ele pode extrair criptomoedas de mais de 70 carteiras diferentes e inclui suporte para configurações do Kubernetes, verificação do Docker e direcionamento de dispositivos IoT.

Além disso, o ladrão implementa mecanismos de persistência, geração de código polimórfico, ganchos de sistema e comunicações de comando e controle ponto a ponto para manter a resiliência operacional.

Capacidades avançadas de evasão de IA

Um recurso particularmente notável é o módulo AIEvasionEngine, projetado para ajudar o malware a escapar de sistemas de detecção baseados em IA e em comportamento, incluindo soluções de detecção e resposta de endpoint (EDR) e sandboxes.

Este mecanismo imita o comportamento legítimo do usuário e do sistema, simulando movimentos do mouse, uso falso do navegador e atividade na rede de arquivos.

Ele injeta ruído estatístico por meio de operações aleatórias de memória, CPU e rede, ao mesmo tempo em que randomiza padrões de tempo de execução com atrasos irregulares para evitar a detecção de anomalias.

O sistema camufla ainda mais o uso de recursos ajustando a alocação de CPU e memória para imitar aplicativos normais, obscurecendo Chamadas de API com padrões aleatórios e altera os padrões de acesso à memória para contornar os modelos de aprendizado de máquina.

Curiosamente, o ladrão inclui uma classe AITargetDetection que afirma usar inteligência artificial para identificar alvos de alto valor.

No entanto, a análise técnica revela que a implementação depende inteiramente da correspondência de padrões baseada em regras, em vez de algoritmos reais de aprendizado de máquina.

O sistema identifica metas com base em indicadores predefinidos, incluindo carteiras de criptomoedas, dados bancários, contas premium, contas de desenvolvedores e e-mails comerciais, com pontuação geográfica favorecendo países como Estados Unidos, Reino Unido, Alemanha e Japão.

A função DevToolsCollector demonstra o foco empresarial do ladrão, extraindo dados confidenciais de configurações IDE, incluindo VS Code, produtos JetBrains e Sublime Text.

Ele tem como alvo credenciais de nuvem da AWS, Google NuvemAzure e Digital Ocean, juntamente com chaves SSH, configurações de Docker e Kubernetes, informações de conexão de banco de dados, configurações de VPN e chaves de API de arquivos de ambiente.

O BiometricCollector tenta extrair o Windows Hello e dados de configuração biométrica, enquanto o PasswordManagerCollector tem como alvo OnePass, LastPass, BitWarden, Dashlane, NordPass e KeePass.

Indicadores de riqueza, tais como palavras-chave como CEO, comerciante, investidor e VIP, também foram definidos num dicionário, mas não estão em uso neste momento, apontando para a intenção do grupo de se desenvolver ainda mais no futuro.

Coletores adicionais extraem tokens de logon único dos sistemas Azure Active Directory e Kerberos, senhas únicas baseadas em tempo do Authy Desktop e Autenticador Microsofte credenciais corporativas de clientes VPN e sistemas RDP.

Um SuperExtendedApplication Collector verifica 160 aplicativos diferentes, incluindo Teams, Slack, Zoom e produtos de segurança.

Métodos de exfiltração multicamadas

A exfiltração de dados emprega múltiplas abordagens, incluindo técnicas de esteganografia que ocultam dados roubados em imagens usando codificação de bits menos significativa, fluxos de dados alternativos NTFS, chaves de registro do Windows e arquivos poliglotas.

O BiometricCollector tenta extrair o Windows Hello e dados de configuração biométrica, enquanto o PasswordManagerCollector tem como alvo OnePass, LastPass, BitWarden, Dashlane, NordPass e KeePass.

O módulo CloudProxy roteia dados através de domínios de serviço em nuvem, incluindo AWS, GCP e Azure, enquanto o P2PEngine incorpora instruções em transações blockchain e utiliza redes anônimas como Tor e I2P.

Comercializado no Telegram com opções de licenciamento em níveis, o Xillen Stealer fornece aos operadores uma GUI profissional para visualizar dados exfiltrados e gerenciar infecções.

Embora alguns componentes permaneçam subdesenvolvidos, o conjunto abrangente de recursos posiciona esse ladrão como uma ameaça em evolução significativa para organizações que gerenciam credenciais confidenciais e ativos de criptomoeda.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.