MalwareCloud-SicherheitCyberkriminalität

PCPJack: Neue Cloud-Malware stiehlt Zugangsdaten statt Rechenleistung

Von CyberDeutsch Redaktion
PCPJack: Neue Cloud-Malware stiehlt Zugangsdaten statt Rechenleistung
Zusammenfassung

Eine neue Bedrohung namens PCPJack ist aufgetaucht, die sich als ungewöhnlicher Cloud-Worm präsentiert: Sie entfernt gezielt Infektionen der berüchtigten Supply-Chain-Angreifer TeamPCP – allerdings mit versteckter Absicht. Statt nur aufzuräumen, stiehlt PCPJack systematisch Cloud-Geheimnisse, API-Schlüssel, Zugangsdaten und Kryptowallet-Informationen von befallenen Systemen. Die Malware zielt auf eine breite Palette von Diensten ab, darunter AWS, GitHub, Google Workspace, Microsoft 365, sowie große Fintech- und Krypto-Plattformen wie Stripe, Coinbase und Binance. Besonders bemerkenswert ist PCPJacks innovative Methode zur Zielentdeckung: Sie nutzt öffentliche Datensätze von Common Crawl, um neue anfällige Systeme zu identifizieren und auszunutzen. Für deutsche Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, insbesondere für solche, die Cloud-Services intensiv nutzen und deren Zugangsdaten nicht ausreichend geschützt sind. Experten warnen: Organisationen, die ihre Geheimnisse nicht in Vaults speichern, Multi-Faktor-Authentifizierung implementieren und Cloud-Security-Best-Practices befolgen, können zum Ziel dieser Bedrohung werden.

Die neue Malware PCPJack unterscheidet sich grundlegend von klassischen Cloud-Bedrohungen. Während die meisten Cyberkriminellen ihre Malware mit Kryptomining-Tools wie XMRig ausstatten, um Rechenleistung abzuzweigen, konzentriert sich PCPJack vollständig auf den Diebstahl von Zugangsdaten und digitalen Assets. Dies deutet darauf hin, dass die Angreifer schnelle, direkte finanzielle Erträge gegenüber langfristiger Ressourcenausnutzung bevorzugen.

Die Malware funktioniert modular: Ein Bootstrap-Modul etabliert zunächst Persistenz und entfernt alle Spuren von TeamPCP — eine auffällige Besonderheit, die Forscher ursprünglich zu der Annahme führte, PCPJack könnte von Sicherheitsforschern stammen. Das Hauptorchestrator-Skript „monitor” sammelt dann Systemmetriken und beginnt gezielt, lokale Konfigurationsdateien und Cloud-Credentials zu stehlen. Ein weiteres Modul namens „csc” exploitet bekannte Sicherheitslücken, um in neue Systeme einzudringen.

Besonders innovativ ist PCPJacks Zielentdeckungsmechanismus: Die Malware downloaded Parquet-Dateien von Common Crawl — einer gemeinnützigen Datensammlung für KI- und Datenanalytik-Entwicklung — und scannt diese nach potenziellen Opfern. Dies ist deutlich effizienter als willkürliches Scanning und ermöglicht präzisere Angriffe. Die Malware merkt sich bereits gescannte Hosts, um Duplikate zu vermeiden.

Das laterale Bewegungsskript („lat”) nutzt gestohlene Credentials, um in Kubernetes-Umgebungen, Docker-Container, Redis-Instanzen und SSH-Verbindungen einzudringen. Für externe Ausbreitung setzt PCPJack auf dasselbe Prinzip: neue Secrets stehlen, um mehr Systeme zu kompromittieren.

Ziele sind etablierte Cloud- und Finanzservices: AWS, GitHub, Slack, WordPress, Gmail, Microsoft Outlook, Mailchimp, Bitcoin, Ethereum, Coinbase, Binance und Stripe. Dies unterstreicht die Rationalität des Angreifers — er zielt auf Services mit hohem finanziellem Wert ab.

Forscher spekulieren, dass PCPJack von einem ehemaligen TeamPCP-Mitglied entwickelt wurde, der die Taktiken der Rivalen-Gruppe genau kannte. Ein Twitter-Post von TeamPCP vom 19. April, kurz vor Kontosperrung, deutete auf „Identity Theft” hin. PCPJacks Kampagne begann nur eine Woche später.

Zum Schutz empfehlen Experten, Secrets in Vaults zu verschlüsseln, Multifaktor-Authentifizierung (MFA) für Service-Accounts zu erzwingen und Cloud-Security-Best-Practices zu implementieren. Deutsche Organisationen sollten zudem ihre Incident-Response-Pläne überprüfen und das BSI konsultieren.

Ähnliche Artikel