MalwareCloud-SicherheitSchwachstellen

PCPJack: Neuer Malware-Wurm verdrängt TeamPCP und stiehlt Cloud-Zugangsdaten

Von CyberDeutsch Redaktion
PCPJack: Neuer Malware-Wurm verdrängt TeamPCP und stiehlt Cloud-Zugangsdaten
Zusammenfassung

Ein neuer Malware-Wurm namens PCPJack sorgt derzeit in der Cybersecurity-Community für Aufsehen. Wie SentinelOne berichtet, wurde die Kampagne seit Ende April aktiv und verfolgt ein ungewöhnliches Ziel: Sie bereinigt Systeme von Infektionen der berüchtigten TeamPCP-Hacker-Gruppe und installiert stattdessen eigene bösartige Tools. Das PCPJack-Framework richtet sich primär gegen Web-Anwendungen und Cloud-Umgebungen wie AWS, Docker und Kubernetes. Nach der Bereinigung von TeamPCP-Artefakten lädt die Malware sechs spezialisierte Module herunter, die Zugangsdaten aus verschiedenen Diensten – von GitHub über Slack bis zu Kryptowallet-Daten – stehlen können. Für deutsche Unternehmen ist dies besonders besorgniserregend, da viele deutsche Firmen cloud-basierte Infrastrukturen nutzen und sich damit potenziell im Visier befinden. Die Malware kann sich horizontal ausbreiten, nutzt bekannte Schwachstellen in WordPress-Plugins und anderen Web-Anwendungen aus, und kommuniziert über verschlüsselte Telegram-Kanäle mit den Angreifern. Diese Kombination aus Credential-Theft, Lateral-Movement-Fähigkeiten und automatisierter Verbreitung macht PCPJack zu einer erheblichen Bedrohung für Behörden, Unternehmen und deren digitale Infrastruktur in Deutschland.

Der Malware-Wurm PCPJack stellt eine neue Bedrohung für Cloud-Infrastrukturen dar. Benannt wurde die Schadsoftware von SentinelOne nach ihrer Hauptfunktion: Sie entfernt systematisch Spuren der berüchtigten Hackergruppe TeamPCP von infizierter Hardware und installiert dann ihre eigenen böswilligen Tools.

Die Infektionskette beginnt mit einem Linux-Shell-Script, das die Systemumgebung vorbereitet und zusätzliche Schadcode-Module herunterlädt. Zunächst sucht das Script nach bekannten TeamPCP-Prozessen und -Artefakten und entfernt diese gründlich. Dann wird eine Python-Virtual-Environment erstellt, aus der sechs Module von einem AWS-S3-Bucket geladen werden. Die Malware etabliert Persistenz und löscht danach ihre Spuren.

Die verbleibenden Module erfüllen spezialisierte Funktionen: Credential-Parsing, laterale Bewegung im Netzwerk, Command-and-Control-Verschlüsselung, Cloud-IP-Lookups und Cloud-Scanning. Besonders kritisch ist die Fähigkeit, sensible Daten zu stehlen. PCPJack zielt auf .env-Dateien, Konfigurationsdateien, Umgebungsvariablen, SSH-Schlüssel, Krypto-Wallets und Zugriffstoken für AWS, Kubernetes, Docker, Gmail, GitHub, Office 365, RayML, Slack und WordPress.

Die Malware nutzt mehrere bekannte Schwachstellen zur Ausbreitung, darunter CVE-2025-29927 (Next.js), CVE-2025-55182 (React2Shell), CVE-2026-1357 (WPVivid Backup Plugin), CVE-2025-9501 (W3 Total Cache) und CVE-2025-48703 (CentOS Web Panel). Besonders besorgniserregend ist die Fähigkeit, sich über Kubernetes-, Docker-, Redis- und MongoDB-Deployments auszubreiten sowie SSH-Schlüssel zur Fernausführung zu missbrauchen.

SentinelOne vermutet, dass hinter PCPJack möglicherweise ein ehemaliger TeamPCP-Operator steckt, der die Werkzeuge der Gruppe genau kennt. Die Malware nutzt Telegram als Command-and-Control-Kanal und verschlüsselt Datenübertragungen – mit der ironischen Ausnahme der Telegram-Anmeldedaten und der Infrastruktur des Angreif.

Deutsche Unternehmen sollten sofort ihre Cloud-Infrastrukturen überprüfen, Zugriffslogs analysieren und verdächtige Prozesse suchen. Eine umgehende Patch-Verwaltung für die genannten CVEs ist essentiell. Das BSI empfiehlt zudem, Administratoren-Zugänge zu überprüfen und Multi-Faktor-Authentifizierung zu aktivieren.

Ähnliche Artikel