Atores de ameaças estão explorando uma falha de segurança crítica recém-divulgada no **Ghost CMS** para injetar código JavaScript malicioso com o objetivo de alimentar ataques de ClickFix. ### CVE-2026-26980: Uma Vulnerabilidade Crítica de SQL Injection De acordo com a **QiAnXin XLab**, a atividade envolve a exploração da **CVE-2026-26980** (pontuação CVSS: 9.4), uma vulnerabilidade de SQL injection na API de Conteúdo do Ghost que poderia permitir que um atacante não autenticado lesse dados arbitrários do banco de dados. A vulnerabilidade foi corrigida em fevereiro de 2026 na versão 6.19.1. A vulnerabilidade foi descoberta pela **Anthropic** usando **Claude**. O que torna a vulnerabilidade grave é que ela permite que um atacante obtenha acesso à chave da API de administrador de um site sem permissão, concedendo-lhes a capacidade de "envenenar" o site injetando código malicioso. A chave da API de administrador pode ser usada para invocar a API de administrador e pode modificar diretamente artigos publicados no sistema de gerenciamento de conteúdo. ### Campanha Massiva de "Envenenamento" O ator de ameaça utilizou a falha de segurança para "obter a chave da API de Administrador do site alvo sem autorização e, em seguida, usou a API de Administrador do Ghost para adulterar artigos em massa, injetando carregadores JavaScript maliciosos na parte inferior das páginas para auxiliar ataques de CAPTCHA falsos", disse a XLab. A atividade foi descrita pela fornecedora chinesa de segurança como uma campanha de "envenenamento em larga escala" que arma a falha do Ghost CMS. Pelo menos dois clusters de ameaças diferentes são avaliados como responsáveis pela campanha, em alguns casos implantando certos sites com código malicioso em um único dia. Foi detectada pela primeira vez em 7 de maio de 2026. No total, a campanha comprometeu mais de 700 sites, abrangendo os setores de universidades, blockchain, inteligência artificial, software como serviço (SaaS), pesquisa de segurança, mídia e tecnologia financeira. O fato de sites legítimos terem sido invadidos pode aumentar ainda mais a taxa de sucesso dos ataques de ClickFix, disse a XLab. ### Análise da Cadeia de Ataque O código JavaScript injetado na parte inferior de um artigo funciona como um carregador de dois estágios responsável por recuperar o payload principal em tempo de execução de um domínio externo ("clo4shara[.]xyz/11z77u3.php"). Essa arquitetura oferece flexibilidade adicional, pois permite que o ator de ameaça troque os payloads com base em diferentes critérios, mantendo a funcionalidade do carregador intacta em vários sites comprometidos.  "Acessar diretamente clo4shara[.]xyz/11z77u3.php revela um trecho de código, que na verdade é um script típico de distribuição de tráfego", explicou a XLab. "Sua função principal é coletar várias informações de impressão digital do navegador do usuário e enviá-las para o servidor, em seguida, realizar ações como redirecionamento, pop-ups e downloads com base nas instruções retornadas." O script PHP é alimentado pelo **Adspect**, um serviço comercial de cloaking. A ideia por trás do uso do script de cloaking é garantir que apenas vítimas reais recebam o payload real, enquanto scanners de segurança e crawlers verão apenas uma página web benigna. O script também suporta 19 comandos diferentes para executar código JavaScript arbitrário e facilitar o controle remoto do navegador da vítima. Visitantes do site considerados como alvos pretendidos acabam recebendo uma página falsa de verificação CAPTCHA dentro de um elemento HTML iframe para provar que são humanos. Isso, por sua vez, aciona um ataque de ClickFix, no qual eles são instruídos a copiar e colar um comando codificado em Base64 na caixa de diálogo Executar do Windows. O comando serve como um "dropper" para entregar um arquivo ZIP e extrair dele um script batch do Windows e executá-lo. O script, por sua vez, executa um comando **PowerShell** para baixar um arquivo DLL de um domínio remoto, executá-lo usando "rundll32.exe" e abrir uma página web falsa para o usuário como distração. Iterações subsequentes do malware foram encontradas substituindo a DLL por um payload JavaScript. Independentemente do tipo de payload, o objetivo final do ataque é entregar um executável do **Windows**. No caso da DLL, o executável é um cliente **PuTTY** com um certificado de assinatura de código válido. O binário distribuído via JavaScript é um instalador do Inno Setup para um aplicativo **Electron**. O aplicativo é uma versão modificada do cliente desktop Grape de código aberto, projetado para alcançar persistência e consultar um servidor remoto ("web-telegram[.]ug") a cada 30 segundos para processar instruções emitidas pelo atacante, incluindo a execução de código JavaScript ou arquivos executáveis. ### Passos de Mitigação Usuários do Ghost CMS são aconselhados a atualizar suas instâncias para a versão mais recente, rotacionar todas as credenciais, limpar os sites, auditar logs de acesso em busca de sinais de atividade suspeita e notificar usuários que possam ter visitado os sites durante o período de contaminação para possível comprometimento.