Xillen Stealer, một mã độc đánh cắp thông tin tinh vi dựa trên Python, đã nổi lên như một mối đe dọa đáng kể trong bối cảnh tội phạm mạng.

Được Cyfirma xác định lần đầu vào tháng 9 năm 2025, phần mềm độc hại đa nền tảng này gần đây đã phát triển lên các phiên bản 4 và 5.

Các phiên bản mới giới thiệu một kho vũ khí nguy hiểm gồm các tính năng được thiết kế để đánh cắp thông tin đăng nhập nhạy cảm, ví tiền điện tử và thông tin hệ thống.

Đáng chú ý, Xillen Stealer còn có khả năng lẩn tránh các hệ thống bảo mật hiện đại.

Tổng quan về Xillen Stealer và sự Phát triển

Mã độc này nhắm mục tiêu dữ liệu trên hơn 100 trình duyệt và hơn 70 ví tiền điện tử, định vị mình là một công cụ thu thập thông tin đăng nhập toàn diện.

Xillen Stealer được tiếp thị thông qua các kênh Telegram, thể hiện mức độ chuyên nghiệp trong hoạt động.

Phần mềm độc hại hoạt động thông qua một giao diện chuyên nghiệp, cho phép kẻ tấn công quản lý dữ liệu bị rò rỉ, theo dõi các trường hợp lây nhiễm và xem cài đặt cấu hình.

Khả năng Đánh cắp Dữ liệu Chi tiết

Khả năng của Xillen Stealer mở rộng vượt xa hành vi đánh cắp thông tin cơ bản.

Nó thu thập dữ liệu trình duyệt bao gồm lịch sử duyệt web, cookie và mật khẩu đã lưu.

Đồng thời, mã độc này cũng nhắm mục tiêu vào các trình quản lý mật khẩu phổ biến như OnePass, LastPass, BitWarden và Dashlane.

Mục tiêu Đặc biệt: Thông tin Phát triển và Đám mây

Phần mềm stealer này đặc biệt tập trung vào việc thu thập thông tin đăng nhập của nhà phát triển.

Nó cũng tìm kiếm các cấu hình đám mây từ AWS, GCP và Azure, cùng với khóa SSH và thông tin kết nối cơ sở dữ liệu.

Việc đánh cắp khóa SSH có thể dẫn đến các cuộc tấn công lừa đảo nghiêm trọng hơn, như được đề cập trong phân tích về tái sử dụng khóa SSH.

Chiến lược Nhắm mục tiêu Nâng cao

Các nhà phân tích bảo mật của Darktrace đã ghi nhận rằng các phiên bản mới nhất của Xillen Stealer giới thiệu một phương pháp sáng tạo để nhắm mục tiêu vào các nạn nhân có giá trị cao.

Phần mềm độc hại bao gồm một lớp AITargetDetection được thiết kế để xác định các mục tiêu có giá trị dựa trên các chỉ số có trọng số và từ khóa cụ thể.

Nó tìm kiếm ví tiền điện tử, thông tin đăng nhập ngân hàng, tài khoản cao cấp và quyền truy cập của nhà phát triển.

Ưu tiên được đặt cho các nạn nhân ở các quốc gia giàu có bao gồm Hoa Kỳ, Vương quốc Anh, Đức và Nhật Bản.

Mặc dù việc triển khai hiện tại dựa vào khớp mẫu dựa trên quy tắc hơn là học máy thực tế, nhưng nó cho thấy cách các tác nhân đe dọa có kế hoạch tích hợp AI vào các chiến dịch trong tương lai.

Thông tin chi tiết hơn về cách Xillen Stealer sử dụng các bản cập nhật để lẩn tránh phát hiện AI có thể được tìm thấy trong phân tích của Darktrace.

Kỹ thuật Lẩn tránh Phát hiện Nâng cao

Khía cạnh đáng lo ngại nhất của Xillen Stealer nằm ở khả năng lẩn tránh nâng cao của nó.

Mô-đun AIEvasionEngine sử dụng nhiều kỹ thuật để vượt qua các hệ thống bảo mật.

Các Phương pháp Lẩn tránh Hành vi

• Mô phỏng hành vi (Behavioral mimicking): Giả lập các hành động của người dùng hợp pháp.
• Chèn nhiễu (Noise injection): Gây nhầm lẫn cho các bộ phân loại hành vi.
• Ngẫu nhiên hóa thời gian (Timing randomization): Sử dụng độ trễ không đều để tránh bị theo dõi.
• Ngụy trang tài nguyên (Resource camouflage): Bắt chước các ứng dụng bình thường để che giấu mục đích thực sự.

Lẩn tránh Phát hiện Dựa trên AI/ML

Phần mềm độc hại còn sử dụng kỹ thuật che giấu lệnh gọi API (API call obfuscation) và thay đổi mẫu truy cập bộ nhớ.

Các phương pháp này nhằm mục đích đánh bại các hệ thống phát hiện dựa trên học máy (machine learning).

Cơ chế Đa hình (Polymorphic Engine)

Ngoài ra, Polymorphic Engine biến đổi mã thông qua thay thế hướng dẫn, làm xáo trộn luồng điều khiển và chèn mã chết (dead code injection).

Điều này đảm bảo mỗi mẫu của Xillen Stealer xuất hiện độc đáo, ngăn chặn việc phát hiện dựa trên chữ ký.

Kỹ thuật Trích xuất Dữ liệu (Data Exfiltration)

Đối với quá trình trích xuất dữ liệu, Xillen Stealer triển khai cấu trúc lệnh và kiểm soát ngang hàng (P2P C2).

Cấu trúc này tận dụng các giao dịch blockchain, các mạng ẩn danh như Tor và I2P, cùng với các hệ thống tệp phân tán.

Mã độc tạo các báo cáo định dạng HTML và TXT chứa dữ liệu bị đánh cắp và gửi chúng đến tài khoản Telegram của kẻ tấn công.

Chỉ số Xâm nhập (IOCs)

Dựa trên nội dung được cung cấp, không có chỉ số xâm nhập (IOCs) truyền thống nào như hash tệp cụ thể, tên miền C2 hoặc địa chỉ IP được liệt kê.

Thông tin tập trung vào khả năng và mục tiêu của mã độc.

Các chuyên gia bảo mật cần duy trì cảnh giác cao độ trước Xillen Stealer đang phát triển này.

Sự kết hợp giữa đánh cắp thông tin đăng nhập, lẩn tránh phát hiện và khả năng nhắm mục tiêu thích ứng của nó là một mối đe dọa mạng đáng kể đối với cả người dùng cá nhân và môi trường doanh nghiệp.