Xillen ataca navegadores e carteiras digitais

O Xillen Stealer evoluiu rapidamente e agora representa uma ameaça relevante com os lançamentos das versões 4 e 5, segundo a Cyfirma.
É um infostealer multiplataforma, capaz de atacar mais de 100 navegadores, 70 carteiras de criptomoedas e gerenciadores de senhas populares como OnePass, LastPass, BitWarden e Dashlane.
Opera por interface sofisticada, permitindo ao criminoso monitorar infecções e gerir dados roubados de forma coordenada.
A coleta também inclui credenciais de desenvolvedores, configurações cloud (AWS, GCP, Azure), SSH keys e acessos a bancos de dados.

Avanços em evasão e targeting

As versões recentes incorporam uma classe AITargetDetection, que busca identificar vítimas de alto valor através palavras-chave e listas de indicadores, priorizando principalmente países desenvolvidos.
Embora ainda utilize correspondência baseada em regras, já indica o caminho para campanhas mais direcionadas e baseadas em IA.

O principal destaque está na evasão: o módulo AIEvasionEngine permite mimetizar ações legítimas do usuário, injetar “ruído” para confundir algoritmos, randomizar tempos e camuflar recursos.
Usa obfuscação de chamadas de API, manipulação de padrões de acesso à memória e um motor polimórfico para transformar código, tornar cada variante única e evitar detecção por assinatura.
Para exfiltração, emprega C2 peer-to-peer, transações blockchain, Tor/I2P e sistemas de arquivos distribuídos.

Relatórios e impacto

O malware envia relatórios HTML/TXT com dados roubados diretamente para canais do Telegram dos operadores.
O Xillen Stealer combina furto de credenciais, evasão avançada e targeting adaptativo, elevando riscos para ambientes corporativos e usuários individuais.

Recomendações para proteção

• Reforce monitoramento de endpoints e segurança contra infostealers evoluídos.
• Acompanhe novidades sobre gerenciamento seguro de senhas e credenciais cloud.
• Imponha políticas de uso restrito para navegadores, carteiras e gerenciadores de senhas.
• Eduque usuários sobre phishing e riscos de conteúdo malicioso, especialmente em ambientes corporativos.