Un clic — y tus contraseñas en un archivo. XillenStealer no se anda con miramientos: extrae todo lo que puede.

El nuevo troyano en Python XillenStealer, descubierto por los investigadores de Cyfirma, representa una amenaza seria para los usuarios de Windows. La herramienta está diseñada para robar datos del sistema, contraseñas guardadas y billeteras de criptomonedas, y además incorpora un conjunto de funciones que permiten incluso a atacantes noveles configurar ataques mediante una interfaz intuitiva. Su publicación de acceso público en GitHub pone la herramienta al alcance de cualquiera y reduce considerablemente la barrera de entrada al cibercrimen.

XillenStealer se distribuye como constructor XillenStealer Builder V3.0 con una interfaz gráfica basada en Tkinter. El panel permite seleccionar objetivos, definir métodos de envío de los datos robados y gestionar la configuración sin conocimientos técnicos avanzados. Para protegerse contra accesos no autorizados, el propio constructor emplea una verificación de hash SHA-256 y, para la exfiltración, permite la integración con bots en Telegram.

La arquitectura modular y flexible permite ensamblar ataques para tareas específicas. Se puede optar por robar datos de Discord, Steam, Telegram, lanzadores de juegos y billeteras de criptomonedas, así como activar módulos separados para trabajar con navegadores. La lista de navegadores compatibles incluye Chrome, Edge, Brave, Vivaldi, Opera y Firefox. Los datos se extraen directamente de las bases SQLite Login Data y History, y luego se descifran con algoritmos integrados para obtener las contraseñas en texto claro.

Se presta especial atención a las criptomonedas: XillenStealer puede robar claves y archivos de billeteras como Exodus, AtomicWallet, Coinomi y Electrum. Al mismo tiempo recopila tokens de Discord, credenciales de Steam y archivos de sesión de Telegram. El informe final se genera en dos formatos: HTML con una estructura clara y una versión en texto plano. Si el volumen supera los 45 МБ, el archivo se divide en partes para su envío por Telegram. Tras la transferencia exitosa, los archivos se eliminan del dispositivo de la víctima.

Para permanecer sigiloso, el troyano emplea técnicas antianálisis y comprobaciones de entornos virtuales. Busca signos de VMware, VirtualBox y QEMU, analiza procesos de depuración en ejecución y comprueba la presencia de controladores como vboxguest.sys. Para persistir en el sistema crea tareas del programador de tareas con el nombre «System Maintenance Task» o inicia tareas equivalentes en Linux. Además, intenta inyectarse en procesos de Windows, por ejemplo explorer.exe, si bien este mecanismo no siempre funciona correctamente.

Los investigadores concluyeron que tras el proyecto están desarrolladores agrupados bajo la marca Xillen Killers. El repositorio fue encontrado en GitHub y publicado por un usuario con el alias BengaminButton. Afirma tener solo 15 años, pero en la comunidad se presenta como desarrollador full stack y como auditor de penetración. El sitio del grupo sirve como plataforma para la venta de herramientas: desde plataformas para ataques DDoS hasta exploits y utilidades para intrusiones de red.

El peligro de XillenStealer no radica solo en su amplio conjunto de funciones, sino también en su disponibilidad abierta. La posibilidad de crear una configuración personalizada convierte a esta herramienta en algo versátil: puede ser utilizada tanto por cibercriminales noveles como por atacantes más experimentados para llevar a cabo ataques dirigidos contra empresas. Los expertos señalan que es un ejemplo de profesionalización de los servicios en la sombra: XillenStealer cuenta con documentación, soporte y una comunidad.

Se recomienda a las organizaciones implementar soluciones EDR que registren accesos sospechosos a las bases de los navegadores, intentos de inyección en procesos y conexiones atípicas con Telegram. También es importante capacitar a los empleados para que no descarguen programas de fuentes dudosas. La aparición de herramientas de este tipo confirma una tendencia: los ladrones de datos se vuelven cada vez más sofisticados y, al mismo tiempo, más accesibles para un amplio espectro de atacantes.