近几周,网络安全研究人员发现了 XillenStealer 的出现,这是一种基于Python的信息窃取工具,公开托管在GitHub上,并被威胁行为者迅速采用。
该窃取程序于2025年9月中旬首次被报道,它利用用户友好的生成器图形用户界面(GUI)降低了恶意部署的门槛。
操作人员可以配置数据泄露渠道(例如 Telegram 机器人),并启用针对浏览器、加密货币钱包、游戏应用程序和即时通讯平台的模块。
XillenStealer既可以作为PyInstaller打包的可执行文件提供,也可以直接用Python运行,它已迅速成为地下市场中的一款常用工具,这凸显了网络犯罪持续专业化的趋势。
在首次出现后,Cyfirma的分析师注意到,构建器界面(builder.py)受到SHA-256密码哈希的保护,仅授权操作员可访问。
这种设计选择不仅简化了窃取程序的定制过程,还嵌入了基本的访问控制,以防止随意滥用。
这款窃取程序的模块化架构允许操作者切换特定的数据收集功能,例如浏览器Cookie、登录凭据、系统配置文件和屏幕截图捕获。
通过集成原生Windows API和Python库(如psutil、browser-cookie3和pyTelegramBotAPI),XillenStealer会先收集受感染主机的全面信息,然后将数据打包以便窃取。
执行后,XillenStealer会进行广泛的侦察以识别环境特征。
它会调用checkvmsandbox()等函数,通过MAC地址前缀和已知进程名称来检测虚拟化或沙箱环境,还会调用Windows APIIsDebuggerPresent以阻挠分析。
通过这些检查的系统会进入数据收集程序,包括getbrowserdata()(该程序会解密基于Chromium的浏览器中存储的凭据)和getwallets()(该程序会定位并窃取加密货币钱包文件)。
一旦数据被整合到报告中(包括HTML格式和纯文本格式),该窃取程序就会对大型档案进行分段,并使用配置的机器人令牌将其上传到攻击者的Telegram聊天中。
感染机制深入探究
XillenStealer的感染机制取决于其集成的生成器和持久化设置。
攻击者利用图形用户界面(GUI)通过PyInstaller和UPX压缩将恶意载荷编译为独立可执行文件。
初始执行后,窃取程序会调用installpersistence()函数,以确保在重启后仍能运行:-
def installpersistence():
try:
if OSTYPE == "Windows":
scheduler = win32com.client.Dispatch("Schedule.Service")
scheduler. Connect()
root = scheduler.GetFolder("\\")
task = root.NewTask(0)
trigger = task.Triggers.Create(9) # At logon trigger
action = task.Actions.Create(0)
action. Path = sys.executable if hasattr(sys, "frozen") else sys.argv[0]
task.RegistrationInfo.Description = "System Maintenance Task"
task.Settings.Enabled = True
task.Settings.Hidden = True
root.RegisterTaskDefinition(
"WindowsSystemMaintenance", task, 6, None, None, 3
)
return True
except Exception:
return False这种持久化机制确保窃取程序在每次用户登录时自动执行,并通过伪装成良性的维护任务来增强隐蔽性。
通过将攻击者驱动的有效载荷创建与强大的持久化策略相结合,XillenStealer能在受感染系统上保持长期存在,并持续窃取有价值的数据,直至被清除。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
