Atacantes comprometem 700 sites com Ghost CMS para ataques ClickFix

Mais de 700 sites foram infectados em um ataque em larga escala que explorou uma vulnerabilidade crítica no Ghost CMS (CVE-2026-26980), expondo-os a ataques de 'ClickFix' que induzem usuários a realizarem uma falsa verificação de segurança.

Tradução completa

Atacantes estão injetando código JavaScript malicioso com o objetivo de realizar ataques ClickFix, que induzem a uma falsa verificação de segurança, explorando uma falha crítica recentemente divulgada no Ghost CMS.

Segundo a QiAnXin XLab, o ataque explora a CVE-2026-26980 (pontuação CVSS: 9.4), uma vulnerabilidade de injeção de SQL encontrada na Content API do Ghost. Essa vulnerabilidade permite que um atacante não autenticado leia dados arbitrários do banco de dados. A falha foi corrigida na versão 6.19.1, lançada em fevereiro de 2026, e a própria vulnerabilidade foi descoberta pela Anthropic com o uso de sua IA, Claude.

O motivo de essa vulnerabilidade ser especialmente perigosa é que ela permite que atacantes roubem a chave da Admin API do site sem qualquer privilégio. Com essa chave em mãos, os invasores passam a ter permissão para modificar diretamente artigos publicados no Ghost CMS, o que possibilita a chamada "contaminação de conteúdo", ou seja, a injeção não autorizada de código malicioso no site.

A XLab explicou que "os atacantes usaram essa falha de segurança como alavanca para obter ilegalmente a chave da Admin API dos sites alvo e depois adulteraram artigos em massa usando a Ghost Admin API", acrescentando que "eles injetaram um loader JavaScript malicioso no rodapé das páginas para dar suporte a um ataque de falsa verificação CAPTCHA".

A XLab, empresa chinesa especializada em segurança, classificou essa atividade como uma campanha de "contaminação em massa" que transformou a falha do Ghost CMS em arma. Estima-se que haja pelo menos dois grupos de ameaça distintos por trás da campanha, e em alguns sites o código malicioso foi implantado apenas um dia após a vulnerabilidade ter sido exposta. O ataque foi identificado pela primeira vez em 7 de maio de 2026.

Até o momento, mais de 700 sites foram comprometidos por essa campanha, abrangendo universidades, blockchain, inteligência artificial (IA), software como serviço (SaaS), pesquisa em segurança, mídia e tecnologia financeira {b:100}. A XLab alertou que, como sites legítimos e confiáveis foram comprometidos, a probabilidade de usuários serem enganados aumenta, o que pode elevar ainda mais a taxa de sucesso dos ataques ClickFix.

O código JavaScript injetado no rodapé dos artigos atua como um loader de segundo estágio e, quando o usuário abre a página, busca o payload principal em um domínio externo ("clo4shara[.]xyz/11z77u3.php"). Essa estrutura oferece alta flexibilidade aos atacantes, pois eles podem manter a função do loader igual em vários sites infectados e trocar facilmente apenas o payload principal a qualquer momento, conforme seus próprios critérios.

A XLab afirmou que "ao acessar diretamente esse endereço (clo4shara[.]xyz/11z77u3.php), é possível ver um código composto por um script típico de distribuição de tráfego" e que "a função central desse script é coletar vários fingerprintings do navegador do usuário, enviá-los ao servidor e, conforme os comandos devolvidos pelo servidor, realizar ações maliciosas como redirecionamentos, exibição de pop-ups e downloads". Esse script PHP opera com base no Adspect, um serviço comercial de cloaking (controle de acesso e ocultação).

O uso desse tipo de script de cloaking serve para mostrar páginas normais a equipamentos de detecção de segurança ou crawlers, enquanto entrega o payload malicioso apenas a usuários comuns que são os verdadeiros alvos do ataque. Além disso, o script oferece suporte a 19 comandos diferentes, capazes de executar código JavaScript arbitrário e controlar remotamente o navegador da vítima.

Para visitantes identificados como alvos, uma página falsa de verificação CAPTCHA aparece na tela por meio de um elemento HTML iframe, pedindo que provem que "não são robôs". É nesse ponto que o ataque ClickFix começa de fato, induzindo o usuário a copiar um comando codificado em Base64 e colá-lo na janela Executar do Windows seguindo as instruções exibidas na tela.

Quando o usuário executa esse comando, um dropper é acionado para baixar um arquivo compactado (ZIP), extrair seu conteúdo e executar um script de lote (Batch) do Windows contido nele. Esse script, por sua vez, executa um comando PowerShell para baixar um arquivo DLL de um domínio remoto e então executá-lo via rundll32.exe. Ao mesmo tempo, uma página web falsa de distração é aberta para reduzir a suspeita do usuário.

Em variantes de malware descobertas posteriormente, um payload JavaScript foi usado no lugar do arquivo DLL. No entanto, independentemente do formato do payload, o objetivo final do ataque é instalar um arquivo executável do Windows (EXE) no PC do usuário. Na versão em DLL, o executável instalado é o cliente PuTTY, com um certificado de assinatura de código válido; já o binário distribuído via JavaScript é apresentado na forma de um instalador Inno Setup para um aplicativo Electron.

O aplicativo instalado dessa forma é uma versão adulterada do cliente desktop de código aberto Grape. Ele permanece persistentemente no sistema e envia um sinal ao servidor remoto ("web-telegram[.]ug") a cada 30 segundos para verificar os comandos emitidos pelos atacantes, além de executar código JavaScript ou arquivos executáveis.

Usuários do Ghost CMS devem, para evitar danos, atualizar imediatamente suas instâncias para a versão mais recente e redefinir todas as credenciais de autenticação, incluindo senhas e chaves de API. Também é necessário limpar completamente o ambiente do site e auditar cuidadosamente os logs de acesso em busca de indícios de atividade suspeita. Além disso, recomenda-se alertar e orientar os usuários que possam ter visitado o site durante o período em que ele esteve contaminado sobre o risco de comprometimento.