O Xillen Stealer evoluiu rapidamente e agora representa uma ameaça relevante com os lançamentos das versões 4 e 5, segundo a Cyfirma.
É um infostealer multiplataforma, capaz de atacar mais de 100 navegadores, 70 carteiras de criptomoedas e gerenciadores de senhas populares como OnePass, LastPass, BitWarden e Dashlane.
Opera por interface sofisticada, permitindo ao monitoramento de incidentes e gerenciando dados roubados de forma coordenada.
A coleta também inclui credenciais de desenvolvedores, configurações de nuvem (AWS, GCP, Azure), chaves SSH e acessos a bancos de dados.
Avanços em evasão e segmentação
As versões recentes incorporam uma classe AITargetDetection, que busca identificar vítimas de alto valor por meio de palavras-chave e listas de indicadores, priorizando principalmente países desenvolvidos.
Embora ainda utilize correspondência baseada em regras, já indica o caminho para campanhas mais direcionadas e baseadas em IA.
O principal destaque é a evasão: o módulo AIEvasionEngine permite mimetizar ações legítimas do usuário, injetar “ruído” para confundir algoritmos, randomizar tempos e camuflar recursos.
Usa ofuscação de chamadas de API, manipulação de padrões de acesso à memória e um motor polimórfico para transformar código, tornar cada variante única e evitar detecção por assinatura.
Para exfiltração, emprega C2 peer-to-peer, transações blockchain, Tor/I2P e sistemas de arquivos distribuídos.
Relatórios e impacto
Ó malware envia relatórios HTML/TXT com dados adquiridos diretamente para canais do Telegram dos operadores.
O Xillen Stealer combina furto de credenciais, evasão avançada e direcionamento adaptativo, elevando riscos para ambientes corporativos e usuários individuais.
Recomendações para proteção
- Reforce monitoramento de endpoints e segurança contra infostealers evoluídos.
- Acompanhe novidades sobre gerenciamento de segurança de senhas e credenciais em nuvem.
- Imponha políticas de uso restrito para navegadores, carteiras e gerenciadores de senhas.
- Eduque os usuários sobre phishing e riscos de conteúdo malicioso, especialmente em ambientes corporativos.
