Pesquisadores da equipe de inteligência de ameaças XLab da **Qianxin** descobriram uma campanha generalizada explorando uma vulnerabilidade crítica de SQL injection (**CVE-2026-26980**) que afeta o **Ghost CMS**. Essa vulnerabilidade está sendo utilizada para injetar código JavaScript malicioso, desencadeando fluxos de ataque ClickFix em larga escala. ### Escopo do Ataque Os pesquisadores do XLab confirmaram que mais de 700 domínios foram impactados, incluindo portais universitários, empresas de IA/SaaS, veículos de mídia, empresas de fintech, sites de segurança e blogs pessoais. Instituições de destaque como a **Universidade de Harvard**, a **Universidade de Oxford**, a **Universidade de Auburn** e até mesmo o **DuckDuckGo** estiveram entre os sites comprometidos.  *Fonte: XLab* ### CVE-2026-26980: A Vulnerabilidade **CVE-2026-26980** afeta as versões 3.24.0 a 6.19.0 do **Ghost**. Ela permite que atacantes não autenticados leiam dados arbitrários do banco de dados do website, incluindo as importantíssimas chaves de API de administrador. Essas chaves concedem acesso extensivo de gerenciamento, permitindo a modificação de usuários, artigos e temas. Um patch foi lançado em 19 de fevereiro na versão 6.19.1 do **Ghost CMS**; no entanto, muitos sites ainda não aplicaram a atualização de segurança necessária. A **SentinelOne** publicou detalhes em 27 de fevereiro sobre a exploração da **CVE-2026-26980**, incluindo métodos de detecção. Sua pesquisa identificou múltiplos clusters de atividade distintos visando sites Ghost vulneráveis, com alguns domínios sendo repetidamente infectados com scripts diferentes.  *Fonte: XLab* ### Detalhamento da Cadeia de Ataque Os ataques observados seguem um padrão específico: 1. **Exploração:** Atacantes exploram a **CVE-2026-26980** para roubar chaves de API de administrador. 2. **Injeção:** Eles usam as chaves de API roubadas para injetar JavaScript malicioso em artigos. 3. **Staging:** O JavaScript injetado atua como um carregador leve, buscando o código de segundo estágio da infraestrutura do atacante. 4. **Fingerprinting:** Este código de segundo estágio faz o fingerprinting dos visitantes para identificar alvos potenciais. 5. **Isca ClickFix:** Visitantes alvo recebem um prompt falso do **Cloudflare** via iframe, levando à isca ClickFix.  *Fonte: XLab* As vítimas são então instruídas a colar um comando fornecido em seu prompt de comando do Windows, que baixa um payload em seus sistemas. Os payloads observados incluem carregadores de DLL, droppers de JavaScript e uma amostra de malware baseada em Electron chamada `UtilifySetup.exe`. .jpg) *Fonte: XLab* ### Estratégias de Mitigação O passo mais crítico é atualizar para a versão 6.19.1 ou posterior do **Ghost CMS** e rotacionar todas as chaves usadas anteriormente, pois elas devem ser consideradas comprometidas. O XLab forneceu indicadores de comprometimento (IoCs), incluindo scripts injetados, que devem ser usados para revisar minuciosamente os websites e remover qualquer código malicioso. Os proprietários de websites também são aconselhados a manter um registro de 30 dias dos logs de chamadas de API de administrador para facilitar investigações retrospectivas eficazes.