Angreifer kompromittieren 700 Ghost-CMS-Websites für ClickFix-Angriffe

Bei einer groß angelegten Angriffswelle, die eine kritische Schwachstelle in Ghost CMS (CVE-2026-26980) ausnutzt, wurden mehr als 700 Websites infiziert und ClickFix-Angriffen ausgesetzt, die zu gefälschten Sicherheitsüberprüfungen verleiten.

Vollständige Übersetzung

Angreifer injizieren derzeit bösartigen JavaScript-Code, um ClickFix-Angriffe durchzuführen, die gefälschte Sicherheitsüberprüfungen vortäuschen, indem sie eine kürzlich veröffentlichte kritische Sicherheitslücke in Ghost CMS ausnutzen.

Laut QiAnXin XLab missbraucht der Angriff CVE-2026-26980 (CVSS-Score: 9,4), eine SQL-Injection-Schwachstelle in der Content API von Ghost. Über diese Lücke können nicht authentifizierte Angreifer beliebige Daten aus der Datenbank auslesen. Der Sicherheitsfehler wurde in Version 6.19.1 behoben, die im Februar 2026 veröffentlicht wurde. Entdeckt wurde die Schwachstelle von Anthropic mithilfe der eigenen KI Claude.

Besonders gefährlich ist die Schwachstelle, weil Angreifer ohne Berechtigungen den Admin-API-Schlüssel einer Website stehlen können. Mit diesem Schlüssel erhalten sie die Möglichkeit, in Ghost CMS veröffentlichte Artikel direkt zu verändern, wodurch sogenanntes „Content Poisoning“ möglich wird, also das unbefugte Einschleusen von Schadcode in die Website.

XLab erklärte: „Die Angreifer nutzten diese Sicherheitslücke als Hebel, um unbefugt an die Admin-API-Schlüssel der Zielseiten zu gelangen, und veränderten anschließend in großem Umfang Artikel über die Ghost Admin API“, und weiter: „Sie injizierten am Seitenende einen bösartigen JavaScript-Loader, der Angriffe mit gefälschter CAPTCHA-Verifizierung unterstützte.“

Das chinesische Sicherheitsunternehmen XLab stuft die Aktivitäten als Kampagne zur „großflächigen Verunreinigung“ ein, bei der eine Schwachstelle in Ghost CMS bewaffnet wurde. Hinter der Kampagne sollen mindestens zwei unterschiedliche Bedrohungsgruppen stehen; auf manchen Websites wurde bereits nur einen Tag nach Bekanntwerden der Schwachstelle Schadcode eingeschleust. Der Angriff wurde erstmals am 7. Mai 2026 beobachtet.

Bislang wurden durch diese Kampagne mehr als 700 Websites kompromittiert, darunter Seiten aus den Bereichen Hochschulen, Blockchain, Künstliche Intelligenz (KI), Software as a Service (SaaS), Sicherheitsforschung, Medien und FinTech {b:100}. XLab warnte, dass die Tatsache, dass legitime und vertrauenswürdige Websites kompromittiert wurden, die Wahrscheinlichkeit erhöht, dass Nutzer getäuscht werden, was die Erfolgsquote der ClickFix-Angriffe weiter steigern könnte.

Der am Ende der Artikel injizierte JavaScript-Code fungiert als Loader der zweiten Stufe und ist dafür zuständig, beim Aufruf der Seite die Haupt-Payload von einer externen Domain ("clo4shara[.]xyz/11z77u3.php") nachzuladen. Diese Struktur bietet den Angreifern hohe Flexibilität, da sie bei zahlreichen kompromittierten Websites die Loader-Funktion unverändert lassen und nur die Haupt-Payload jederzeit nach ihren eigenen Kriterien austauschen können.

XLab erklärte: „Wenn man die Adresse (clo4shara[.]xyz/11z77u3.php) direkt aufruft, sieht man Code, der aus einem typischen Traffic-Distribution-Skript besteht“, und weiter: „Die Kernfunktion dieses Skripts besteht darin, verschiedene Fingerprints des Browsers des Nutzers zu sammeln und an den Server zu senden und dann je nach Antwort des Servers schädliche Aktionen wie Weiterleitungen, Pop-up-Fenster oder Downloads auszuführen.“ Dieses PHP-Skript basiert auf Adspect, einem kommerziellen Cloaking-Service für Zugriffskontrolle und Verschleierung.

Solche Cloaking-Skripte werden eingesetzt, um Sicherheitslösungen oder Crawlern nur normale Webseiten anzuzeigen und die schädliche Payload ausschließlich an reguläre Nutzer auszuliefern, die tatsächlich angegriffen werden sollen. Außerdem unterstützt das Skript 19 verschiedene Befehle, mit denen beliebiger JavaScript-Code ausgeführt und der Browser des Opfers fernbedient werden kann.

Bei Besuchern, die als Ziel eingestuft werden, wird über ein iframe-HTML-Element eine gefälschte CAPTCHA-Verifizierungsseite eingeblendet, die sie dazu auffordert zu beweisen, dass sie „kein Roboter“ sind. An diesem Punkt beginnt der eigentliche ClickFix-Angriff: Der Nutzer wird durch Anweisungen auf dem Bildschirm dazu verleitet, einen Base64-kodierten Befehl zu kopieren und in das Windows-Ausführen-Fenster einzufügen.

Führt der Nutzer diesen Befehl aus, startet ein Dropper, der ein ZIP-Archiv herunterlädt, entpackt und das darin enthaltene Windows-Batch-Skript ausführt. Dieses Batch-Skript startet anschließend einen PowerShell-Befehl, lädt eine DLL-Datei von einer entfernten Domain herunter und führt sie über rundll32.exe aus. Gleichzeitig wird zur Ablenkung und um keinen Verdacht zu erregen, eine harmlose Fake-Webseite angezeigt.

In später entdeckten Malware-Varianten wurde anstelle einer DLL-Datei auch eine JavaScript-Payload verwendet. Unabhängig von der Form der Payload ist das letztendliche Ziel des Angriffs jedoch die Installation einer Windows-EXE auf dem Rechner des Nutzers. In der DLL-Variante wird als ausführbare Datei ein PuTTY-Client mit gültigem Code-Signing-Zertifikat installiert; die über JavaScript verbreitete Binärdatei liegt als Inno-Setup-Installer für eine Electron-Anwendung vor.

Die auf diese Weise installierte Anwendung ist eine manipulierte Variante des Open-Source-Desktop-Clients Grape. Sie nistet sich dauerhaft im System ein, meldet sich alle 30 Sekunden bei einem entfernten Server ("web-telegram[.]ug"), prüft dort auf Befehle der Angreifer und führt JavaScript-Code oder ausführbare Dateien aus.

Ghost-CMS-Nutzern wird empfohlen, ihre Instanzen sofort auf die neueste Version zu aktualisieren und sämtliche Zugangsdaten, einschließlich Passwörtern und API-Schlüsseln, zurückzusetzen, um Schäden zu vermeiden. Außerdem sollten sie ihre Websites gründlich bereinigen und die Zugriffsprotokolle sorgfältig auf verdächtige Aktivitäten prüfen. Darüber hinaus wird empfohlen, Nutzer zu warnen, die die Website möglicherweise in dem Zeitraum besucht haben, in dem sie kompromittiert war, und sie auf das Risiko eines Angriffs hinzuweisen.