Хотите стать хакером? Теперь для этого есть удобное приложение с галочками. Просто выберите, что украсть.

Новый Python-троян XillenStealer, обнаруженный исследователями Cyfirma, представляет серьёзную угрозу для пользователей Windows. Инструмент разработан для кражи системных данных, сохранённых паролей и криптовалютных кошельков, а также обладает встроенным набором функций, которые позволяют даже начинающим злоумышленникам настраивать атаки через удобный интерфейс. Его распространение в открытом доступе на GitHub делает инструмент доступным любому желающему и серьёзно снижает порог входа в киберпреступность.

XillenStealer распространяется в виде конструктора XillenStealer Builder V3.0 с графическим интерфейсом на Tkinter. Панель позволяет выбрать цели, задать способы передачи украденных данных и управлять конфигурацией без глубоких технических знаний. Для защиты от несанкционированного доступа сам конструктор использует хэш-проверку SHA-256, а для эксфильтрации поддерживает интеграцию с ботами в Telegram .

Гибкая модульная архитектура позволяет собирать атаки под конкретные задачи. Можно выбрать кражу данных из Discord, Steam, Telegram, игровых лаунчеров и криптокошельков , а также подключить отдельные модули для работы с браузерами. В список поддерживаемых браузеров входят Chrome, Edge, Brave, Vivaldi, Opera и Firefox. Данные извлекаются напрямую из SQLite-баз Login Data и History, а затем расшифровываются встроенными алгоритмами для получения паролей в открытом виде.

Особое внимание уделено криптовалюте: XillenStealer умеет красть ключи и файлы кошельков Exodus, AtomicWallet, Coinomi и Electrum. Одновременно собираются Discord-токены, учётные данные Steam и файлы сессий Telegram. Итоговый отчёт формируется в двух форматах — HTML с удобной структурой и простым текстовым вариантом. Если объём превышает 45 МБ, архив делится на части для отправки в Telegram. После успешной передачи файлы удаляются с устройства жертвы.

Чтобы оставаться незаметным, троян применяет антианализ и проверку на виртуальные окружения. Он ищет признаки VMware, VirtualBox и QEMU, анализирует запущенные процессы отладчиков, проверяет наличие драйверов вроде vboxguest.sys. Для закрепления в системе создаёт задачи планировщика под видом «System Maintenance Task» или запускает аналогичные задания в Linux. Кроме того, предпринимается попытка внедриться в процессы Windows, например explorer.exe, хотя этот механизм работает не всегда корректно.

Исследователи установили, что за проектом стоят разработчики, объединённые под брендом Xillen Killers. Репозиторий был найден на GitHub, опубликованный пользователем под ником BengaminButton. Он утверждает, что ему всего 15 лет, но в сообществе позиционирует себя как full-stack-разработчик и тестировщик на проникновение. Сайт группы служит площадкой для продажи инструментов: от платформ для DDoS-атак до эксплойтов и утилит для сетевых вторжений.

Опасность XillenStealer заключается не только в богатом наборе функций, но и в его открытой доступности. Возможность собрать индивидуальную конфигурацию делает этот инструмент универсальным — его могут использовать как начинающие киберпреступники, так и более опытные злоумышленники для точечных атак на компании. Эксперты отмечают, что это пример профессионализации теневых сервисов: у XillenStealer есть документация, поддержка и сообщество.

Организациям рекомендуется внедрять решения класса EDR, которые фиксируют подозрительные обращения к базам браузеров, попытки инъекций в процессы и нетипичные соединения с Telegram. Также важно обучать сотрудников не загружать программы из сомнительных источников. Появление таких инструментов подтверждает тенденцию — похитители данных становятся всё более изощрёнными и при этом максимально доступными для широкого круга атакующих.