Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
PCPJack colpisce il Cloud: worm ruba credenziali e caccia TeamPCP dalle infrastrutture esposte
PCPJack è un nuovo framework di furto credenziali che sta prendendo di mira infrastrutture cloud esposte e mal configurate, con un comportamento simile a quello di un worm capace di propagarsi rapidamente tra host e servizi. Il malware punta a raccogliere credenziali e segreti da ambienti cloud, container e strumenti per sviluppatori, oltre a servizi di produttività e piattaforme finanziarie, per poi esfiltrare i dati verso infrastrutture controllate dagli attaccanti.
L’obiettivo operativo sembra legato alla monetizzazione tramite frodi, spam, estorsioni o rivendita degli accessi rubati.
Una particolarità importante è che PCPJack rimuove attivamente processi e tracce associati a un altro cluster noto, TeamPCP, suggerendo una competizione diretta per il controllo degli ambienti compromessi. A differenza di campagne simili, non emerge un modulo di mining di criptovalute, scelta che rende l’attività ancora più focalizzata sul furto di credenziali e sull’accesso persistente alle risorse cloud.
Catena di infezione e architettura modulare
La catena di infezione inizia con uno script shell di bootstrap che prepara l’ambiente, configura l’host del payload, installa componenti necessari come Python e imposta la persistenza. Successivamente scarica e avvia più moduli in Python, organizzati in modo modulare. Il cuore è un orchestratore che avvia i moduli, effettua credential theft locale e tenta la propagazione sfruttando vulnerabilità note, incluse cinque CVE, per muoversi lateralmente e colpire nuovi sistemi.
Moduli, raccolta dati ed esfiltrazione
I moduli includono funzioni per estrazione e classificazione delle credenziali, cifratura dei dati prima dell’esfiltrazione e scansione di porte su servizi tipici del cloud come Docker, Kubernetes, Redis, MongoDB e RayML. Un componente raccoglie e aggiorna periodicamente gli intervalli IP di provider come AWS, Google Cloud e Microsoft Azure, facilitando la ricerca di target su larga scala. Per ampliare la superficie di attacco, il worm utilizza anche dataset pubblici ricavati da archivi web, trasformandoli in liste operative di possibili endpoint da sondare.
Capacità aggiuntive e impatto sulla cloud security
È stata inoltre osservata la presenza di uno script aggiuntivo capace di rilevare l’architettura CPU e scaricare un payload dedicato, oltre a tentare l’accesso a servizi di metadati e account di servizio Kubernetes per ottenere ulteriori credenziali e token. Questo rende PCPJack una minaccia concreta per la cloud security, soprattutto in presenza di esposizioni su Internet, configurazioni deboli e patching non tempestivo.