إكسيلين بنسخته المطورة يتجاوز كشف الذكاء الاصطناعي ويسرق بيانات حساسة من برامج إدارة كلمات المرور

برز برنامج Xillen Stealer، وهو برمجية خبيثة متطورة تعتمد على لغة بايثون وتستهدف سرقة المعلومات، كتهديد كبير في مشهد الجريمة السيبرانية. تم تحديد هذه البرمجية الخبيثة عبر المنصات المختلفة لأول مرة في سبتمبر 2025، وقد تطورت مؤخراً إلى النسختين 4 و 5، مقدمةً مجموعة من الميزات الخطيرة المصممة لسرقة بيانات الاعتماد الحساسة، ومحافظ العملات المشفرة، ومعلومات النظام، مع التحايل على أنظمة الأمان الحديثة.

تستهدف البرمجية الخبيثة البيانات عبر أكثر من 100 متصفح وأكثر من 70 محفظة عملات مشفرة، مما يجعلها أداة شاملة لجمع بيانات الاعتماد يتم تسويقها عبر قنوات تيليجرام. تعمل البرمجية الخبيثة من خلال واجهة احترافية تسمح للمهاجمين بإدارة البيانات المسروقة، ومراقبة الإصابات، وعرض إعدادات التكوين.

Xillen Stealer: تهديد متطور لسرقة البيانات

تمتد وظائف Xillen Stealer إلى ما هو أبعد من مجرد سرقة المعلومات الأساسية. فهي تلتقط بيانات المتصفح بما في ذلك سجل التصفح، وملفات تعريف الارتباط، وكلمات المرور المحفوظة، بينما تستهدف في الوقت نفسه مديري كلمات المرور مثل OnePass وLastPass وBitWarden وDashlane.

تركز البرمجية الخبيثة أيضًا على جمع بيانات اعتماد المطورين، وإعدادات النشر السحابي من AWS وGCP وAzure، بالإضافة إلى مفاتيح SSH ومعلومات اتصال قواعد البيانات. لاحظ محللو الأمن في Darktrace أن الإصدارات الأحدث تقدم نهجاً مبتكراً لاستهداف الضحايا ذوي القيمة العالية.

استهداف دقيق وتقنيات تحايل متقدمة

تتضمن البرمجية الخبيثة فئة AITargetDetection المصممة لتحديد الأهداف القيمة بناءً على مؤشرات مرجحة وكلمات مفتاحية محددة. فهي تبحث عن محافظ العملات المشفرة، وبيانات اعتماد الخدمات المصرفية، والحسابات المميزة، ووصول المطورين، مع إعطاء الأولوية للضحايا في البلدان الغنية بما في ذلك الولايات المتحدة والمملكة المتحدة وألمانيا واليابان.

على الرغم من أن التنفيذ يعتمد حاليًا على مطابقة الأنماط المستندة إلى القواعد بدلاً من التعلم الآلي الفعلي، إلا أنه يوضح كيف يخطط المهاجمون لدمج الذكاء الاصطناعي في حملات مستقبلية. يكمن الجانب الأكثر إثارة للقلق في Xillen Stealer في قدراتها المتقدمة على التهرب.

تستخدم وحدة AIEvasionEngine تقنيات متعددة لتجاوز أنظمة الأمان. وتشمل هذه المحاكاة السلوكية التي تحاكي إجراءات المستخدم الشرعية، وحقن الضوضاء لتشويه المصنفات السلوكية، وعشوائية التوقيت مع تأخيرات غير منتظمة، وتخفي الموارد المصممة لتقليد التطبيقات العادية.

تستخدم البرمجية الخبيثة أيضاً تشويش استدعاءات واجهة برمجة التطبيقات (API) وتغيير أنماط الوصول إلى الذاكرة لهزيمة أنظمة الكشف المستندة إلى التعلم الآلي. بالإضافة إلى ذلك، تقوم المحرك القابل للتحول (Polymorphic Engine) بتحويل التعليمات البرمجية من خلال استبدال الأوامر، وتشويش تدفق التحكم، وحقن التعليمات البرمجية الميتة لضمان ظهور كل عينة فريدة، مما يمنع الكشف المستند إلى التوقيع.

آلية استخراج البيانات وآفاق المستقبل

لاستخراج البيانات، تطبق Xillen Stealer هيكل قيادة وتحكم ند لند (peer-to-peer) يستفيد من معاملات blockchain، وشبكات إخفاء الهوية مثل Tor وI2P، وأنظمة الملفات الموزعة. تقوم البرمجية الخبيثة بإنشاء تقارير HTML وTXT تحتوي على البيانات المسروقة وترسلها إلى حسابات تيليجرام الخاصة بالمهاجمين.

يجب على المتخصصين في الأمن البقاء يقظين ضد هذا التهديد المتطور، حيث أن مزيجه من سرقة بيانات الاعتماد، وتجنب الكشف، وقدرات الاستهداف التكيفية يمثل خطراً كبيراً على كل من المستخدمين الأفراد وبيئات المؤسسات. يبرزتطور Xillen Stealer أهمية التبني المستمر لتقنيات الأمن السيبراني الحديثة.