Bedreigingsactoren maken misbruik van een onlangs onthulde kritieke beveiligingsfout in Ghost CMS om kwaadaardige JavaScript-code te injecteren met als doel ClickFix-aanvallen aan te wakkeren.
Volgens QiAnXin XLab betreft de activiteit de exploitatie van CVE-2026-26980 (CVSS-score: 9,4), een SQL-injectiekwetsbaarheid in Ghost’s Content API waarmee een niet-geverifieerde aanvaller willekeurige gegevens uit de database kan lezen. Het beveiligingslek werd in februari 2026 verholpen in versie 6.19.1. De kwetsbaarheid werd ontdekt door Anthropic met behulp van Claude.
Wat de kwetsbaarheid ernstig maakt, is dat een aanvaller hierdoor zonder toestemming toegang kan krijgen tot de beheerders-API-sleutel van een site, waardoor hij of zij de site kan vergiftigen door kwaadaardige code te injecteren. De admin API-sleutel kan worden gebruikt om de admin API aan te roepen en kan artikelen die op het contentmanagementsysteem zijn gepubliceerd rechtstreeks wijzigen.
De bedreigingsacteur maakte gebruik van de beveiligingsfout om “zonder toestemming de Admin API Key van de doelsite te verkrijgen, en gebruikte vervolgens de Ghost Admin API om in bulk met artikelen te knoeien, waarbij kwaadaardige JavaScript-laders onderaan de pagina’s werden geïnjecteerd om valse CAPTCHA-aanvallen te ondersteunen”, aldus XLab.
De activiteit is door de Chinese beveiligingsleverancier beschreven als een “grootschalige vergiftigingscampagne” die de Ghost CMS-fout bewapent. Er wordt aangenomen dat ten minste twee verschillende dreigingsclusters achter de campagne zitten, waarbij in sommige gevallen binnen één dag bepaalde sites met kwaadaardige code worden geïmplanteerd. Het werd voor het eerst gedetecteerd op 7 mei 2026.
In totaal heeft de campagne meer dan 700 websites gecompromitteerd, verspreid over universiteiten, blockchain, kunstmatige intelligentie, software-as-a-service (SaaS), beveiligingsonderzoek, media en financiële technologiesectoren. Het feit dat legitieme websites zijn gehackt, zou het succespercentage van de ClickFix-aanvallen verder kunnen vergroten, aldus XLab.
De geïnjecteerde JavaScript-code onderaan een artikel functioneert als een tweetrapslader die verantwoordelijk is voor het ophalen van de belangrijkste payload tijdens runtime van een extern domein (“clo4shara(.)xyz/11z77u3.php”). Deze architectuur biedt extra flexibiliteit omdat het de bedreigingsacteur in staat stelt de payloads uit te wisselen op basis van verschillende criteria, terwijl de functionaliteit van de lader op verschillende aangetaste sites intact blijft.
“Als je rechtstreeks toegang krijgt tot clo4shara(.)xyz/11z77u3.php, wordt een stukje code onthuld, wat eigenlijk een typisch verkeersdistributiescript is”, legt XLab uit. “De kernfunctie ervan is het verzamelen van verschillende vingerafdrukinformatie uit de browser van de gebruiker en deze naar de server te uploaden, en vervolgens acties uit te voeren zoals omleiding, pop-ups en downloads op basis van de geretourneerde instructies.” Het PHP-script wordt mogelijk gemaakt door Adspect, een commerciële cloaking-service.
Het idee achter het gebruik van het cloaking-script is ervoor te zorgen dat alleen echte slachtoffers de daadwerkelijke lading te zien krijgen, terwijl beveiligingsscanners en crawlers alleen een goedaardige webpagina te zien krijgen. Het script ondersteunt ook 19 verschillende opdrachten om willekeurige JavaScript-code uit te voeren en de afstandsbediening van de browser van het slachtoffer te vergemakkelijken.
Bezoekers van de site die als de beoogde doelwitten worden beschouwd, krijgen uiteindelijk een nep-CAPTCHA-verificatiepagina binnen een iframe HTML-element te zien om te bewijzen dat ze menselijk zijn. Dit veroorzaakt op zijn beurt een ClickFix-aanval, waarbij ze de opdracht krijgen om een Base64-gecodeerde opdracht in het Windows Run-dialoogvenster te kopiëren en te plakken.
De opdracht dient als dropper voor het leveren van een ZIP-archief en extraheert daaruit een Windows-batchscript en voert dit uit. Het script voert op zijn beurt een PowerShell-opdracht uit om een DLL-bestand van een extern domein te downloaden, het te starten met “rundll32.exe” en ter afleiding een nep-webpagina voor de gebruiker te openen.
Latere iteraties van de malware bleken de DLL te vervangen door een JavaScript-payload. Ongeacht het type payload is het einddoel van de aanval het verwijderen van een Windows-uitvoerbaar bestand. In het geval van de DLL is het uitvoerbare bestand een PuTTY-client met een geldig code-signing-certificaat. Het binaire bestand dat via JavaScript wordt gedistribueerd, is een Inno Setup-installatieprogramma voor een Electron-toepassing.
De applicatie is een aangepaste versie van de open-source Grape-desktopclient die is ontworpen om persistentie te bereiken en elke 30 seconden een externe server (“web-telegram(.)ug”) te ondervragen om instructies van de aanvaller te verwerken, inclusief het uitvoeren van JavaScript-code of uitvoerbare bestanden.
Ghost CMS-gebruikers wordt geadviseerd om hun instances te upgraden naar de nieuwste versie, alle inloggegevens te rouleren, de sites op te schonen, de toegangslogboeken te controleren op tekenen van verdachte activiteit en gebruikers die de sites mogelijk hebben bezocht tijdens de besmettingsperiode op de hoogte te stellen van mogelijke inbreuken.
