Bedrohungsakteure nutzen eine kürzlich bekannt gewordene kritische Sicherheitslücke in **Ghost CMS** aus, um bösartigen JavaScript-Code einzuschleusen, mit dem Ziel, ClickFix-Angriffe zu befeuern. ### CVE-2026-26980: Eine kritische SQL-Injection-Schwachstelle Laut **QiAnXin XLab** beinhaltet die Aktivität die Ausnutzung von **CVE-2026-26980** (CVSS-Score: 9.4), einer SQL-Injection-Schwachstelle in der Content API von Ghost, die es einem nicht authentifizierten Angreifer ermöglichen könnte, beliebige Daten aus der Datenbank zu lesen. Die Schwachstelle wurde im Februar 2026 in Version 6.19.1 behoben. Die Schwachstelle wurde von **Anthropic** unter Verwendung von **Claude** entdeckt. Was die Schwachstelle so gravierend macht, ist, dass sie einem Angreifer ermöglicht, ohne Berechtigung auf den Admin API-Schlüssel einer Website zuzugreifen, was ihm die Möglichkeit gibt, die Website durch Einschleusen von bösartigem Code zu vergiften. Der Admin API-Schlüssel kann verwendet werden, um die Admin API aufzurufen und Artikel, die auf dem Content Management System veröffentlicht wurden, direkt zu ändern. ### Massenvergiftungskampagne Der Bedrohungsakteur nutzte die Sicherheitslücke aus, um "den Admin API-Schlüssel der Zielwebsite unbefugt zu erhalten und nutzte dann die Ghost Admin API, um Artikel in großen Mengen zu manipulieren und bösartige JavaScript-Loader am Ende der Seiten einzuschleusen, um gefälschte CAPTCHA-Angriffe zu unterstützen", so XLab. Die Aktivität wurde vom chinesischen Sicherheitsanbieter als "groß angelegte Vergiftungs"-Kampagne beschrieben, die die Ghost CMS-Schwachstelle als Waffe einsetzt. Es wird davon ausgegangen, dass mindestens zwei verschiedene Bedrohungsgruppen hinter der Kampagne stecken, die in einigen Fällen bestimmte Websites innerhalb eines einzigen Tages mit bösartigem Code infizieren. Sie wurde erstmals am 7. Mai 2026 entdeckt. Insgesamt wurden über 700 Websites kompromittiert, darunter Universitäten, Blockchain, künstliche Intelligenz, Software-as-a-Service (SaaS), Sicherheitsforschung, Medien und Finanztechnologie-Sektoren. Die Tatsache, dass legitime Websites kompromittiert wurden, könnte die Erfolgsrate der ClickFix-Angriffe weiter erhöhen, so XLab. ### Analyse der Angriffskette Der am Ende eines Artikels eingefügte JavaScript-Code fungiert als zweistufiger Loader, der für den Abruf des Haupt-Payloads zur Laufzeit von einer externen Domain ("clo4shara[.]xyz/11z77u3.php") verantwortlich ist. Diese Architektur bietet zusätzliche Flexibilität, da sie es dem Bedrohungsakteur ermöglicht, die Payloads basierend auf verschiedenen Kriterien auszutauschen, während die Loader-Funktionalität auf mehreren kompromittierten Websites erhalten bleibt.  "Der direkte Zugriff auf clo4shara[.]xyz/11z77u3.php enthüllt ein Codefragment, das tatsächlich ein typisches Traffic-Distribution-Skript ist", erklärte XLab. "Seine Kernfunktion besteht darin, verschiedene Fingerabdruckinformationen vom Browser des Benutzers zu sammeln und an den Server hochzuladen, um dann Aktionen wie Weiterleitungen, Popups und Downloads basierend auf den zurückgegebenen Anweisungen durchzuführen." Das PHP-Skript wird von **Adspect**, einem kommerziellen Cloaking-Dienst, betrieben. Die Idee hinter der Verwendung des Cloaking-Skripts ist es, sicherzustellen, dass nur echte Opfer den eigentlichen Payload erhalten, während Sicherheits-Scanner und Crawler nur eine harmlose Webseite sehen. Das Skript unterstützt außerdem 19 verschiedene Befehle, um beliebigen JavaScript-Code auszuführen und die Fernsteuerung des Browsers des Opfers zu ermöglichen. Als beabsichtigte Ziele eingestufte Website-Besucher erhalten schließlich eine gefälschte CAPTCHA-Verifizierungsseite innerhalb eines iframe-HTML-Elements, um zu beweisen, dass sie menschlich sind. Dies wiederum löst einen ClickFix-Angriff aus, bei dem sie aufgefordert werden, einen Base64-codierten Befehl in das Windows-Ausführen-Dialogfeld zu kopieren und einzufügen. Der Befehl dient als Dropper für die Bereitstellung eines ZIP-Archivs und extrahiert daraus ein Windows-Batchskript, das ausgeführt wird. Das Skript führt wiederum einen **PowerShell**-Befehl aus, um eine DLL-Datei von einer Remote-Domain herunterzuladen, sie mit "rundll32.exe" zu starten und eine gefälschte Webseite als Ablenkung für den Benutzer zu öffnen. Nachfolgende Iterationen der Malware haben gezeigt, dass die DLL durch einen JavaScript-Payload ersetzt wurde. Unabhängig von der Art des Payloads ist das Endziel des Angriffs, eine **Windows**-ausführbare Datei abzulegen. Im Falle der DLL ist die ausführbare Datei ein **PuTTY**-Client mit einem gültigen Code-Signing-Zertifikat. Die über JavaScript verteilte Binärdatei ist ein Inno Setup-Installer für eine **Electron**-Anwendung. Die Anwendung ist eine modifizierte Version des Open-Source-Grape-Desktop-Clients, die darauf ausgelegt ist, Persistenz zu erreichen und alle 30 Sekunden einen Remote-Server ("web-telegram[.]ug") abzufragen, um Anweisungen des Angreifers zu verarbeiten, einschließlich der Ausführung von JavaScript-Code oder ausführbaren Dateien. ### Abhilfemaßnahmen Ghost CMS-Benutzern wird empfohlen, ihre Instanzen auf die neueste Version zu aktualisieren, alle Anmeldeinformationen zu rotieren, die Websites zu bereinigen, die Zugriffsprotokolle auf Anzeichen verdächtiger Aktivitäten zu überprüfen und Benutzer zu benachrichtigen, die die Websites während des Kontaminationszeitraums besucht haben, auf eine mögliche Kompromittierung.