Los actores de amenazas están explotando fallas de seguridad críticas reveladas recientemente en Ghost CMS para inyectar código JavaScript malicioso con el fin de facilitar los ataques ClickFix.
Según QiAnXin XLab, esta actividad implica la explotación de CVE-2026-26980 (puntuación CVSS: 9,4), una vulnerabilidad de inyección SQL en la API de contenido de Ghost que podría permitir a un atacante no autenticado leer datos arbitrarios de la base de datos. Esta falla de seguridad se resolvió en la versión 6.19.1 en febrero de 2026. Anthropic descubrió esta vulnerabilidad usando Claude.
La gravedad de esta vulnerabilidad es que permite a un atacante obtener acceso no autorizado a las claves API administrativas de un sitio, dándole la capacidad de inyectar código malicioso y comprometer el sitio. Puede utilizar la clave API de administración para llamar a la API de administración y realizar cambios en los artículos publicados directamente en su sistema de gestión de contenidos.
Según XLab, los atacantes explotaron la falla de seguridad para «obtener la clave API de administración del sitio objetivo sin permiso, modificar artículos en masa utilizando la API de administración de Ghost e inyectar un cargador de JavaScript malicioso en la parte inferior de la página para facilitar un ataque CAPTCHA falso».
La actividad ha sido descrita por el proveedor de seguridad chino como una campaña de «envenenamiento masivo» armada por una falla en Ghost CMS. Se considera que al menos dos grupos de amenazas diferentes están detrás de esta campaña, que en algunos casos inyecta código malicioso en sitios específicos en un día. Fue detectado por primera vez el 7 de mayo de 2026.
En total, más de 700 sitios web se vieron comprometidos en esta campaña, abarcando universidades, blockchain, inteligencia artificial, software como servicio, investigación de seguridad, medios y tecnología financiera. El hecho de que los sitios web legítimos hayan sido comprometidos puede hacer que los ataques ClickFix sean aún más exitosos, dijo XLab.
El código JavaScript insertado al final del artículo actúa como un cargador de dos etapas que recupera la carga útil principal de un dominio externo (‘clo4shara(.)xyz/11z77u3.php’) en tiempo de ejecución. Esta arquitectura proporciona flexibilidad adicional al permitir que los actores de amenazas intercambien cargas útiles según diferentes criterios mientras mantiene intacta la funcionalidad del cargador en múltiples sitios comprometidos.
«Si va directamente a clo4shara(.)xyz/11z77u3.php, verá parte del código, que en realidad es un script de distribución de tráfico típico», explicó XLab. «Su funcionalidad principal es recopilar diversa información de huellas dactilares del navegador del usuario, cargarla en un servidor y realizar acciones como redireccionamientos, ventanas emergentes y descargas basadas en las instrucciones devueltas». El script PHP funciona con Adspect, un servicio de encubrimiento comercial.
La idea detrás del uso de scripts de encubrimiento es garantizar que los escáneres y rastreadores de seguridad solo vean páginas web benignas, al tiempo que se garantiza que solo las víctimas reales reciban la carga útil real. El script también admite 19 comandos diferentes que ejecutan código JavaScript arbitrario y facilitan el control remoto del navegador de la víctima.
Los visitantes del sitio que se consideran el objetivo previsto finalmente reciben una página de verificación CAPTCHA falsa dentro de un elemento HTML iframe para demostrar que son humanos. Esto desencadena el ataque ClickFix, que indica al atacante que copie y pegue un comando codificado en Base64 en un cuadro de diálogo Ejecutar de Windows.
Este comando actúa como un gotero para entregar un archivo ZIP, del cual extraer y ejecutar un script por lotes de Windows. El script ejecuta un comando de PowerShell para descargar un archivo DLL desde un dominio remoto y lo inicia usando ‘rundll32.exe’ para abrir una página web falsa para el usuario con fines de distracción.
Se ha descubierto que las iteraciones posteriores del malware reemplazan la DLL con una carga útil de JavaScript. Independientemente del tipo de carga útil, el objetivo final del ataque es eliminar un archivo ejecutable de Windows. Para las DLL, el ejecutable es un cliente PuTTY con un certificado de firma de código válido. El binario distribuido a través de JavaScript es un instalador de Inno Setup para aplicaciones de Electron.
La aplicación es una versión modificada del cliente de escritorio Grape de código abierto, diseñada para proporcionar persistencia y sondear un servidor remoto (‘web-telegram(.)ug’) cada 30 segundos para procesar comandos emitidos por el atacante, como ejecutar código JavaScript o ejecutables.
Se anima a los usuarios de Ghost CMS a actualizar sus instancias a la última versión, rotar todas las credenciales, limpiar el sitio, auditar los registros de acceso en busca de signos de actividad sospechosa y notificar a los usuarios que hayan visitado el sitio durante el período de exposición sobre una posible infracción.
Source link
