Ciberdelincuentes están explotando una vulnerabilidad crítica de inyección SQL en Ghost CMS para obtener claves de administrador e inyectar código JavaScript malicioso. Esta campaña ha comprometido a más de 700 sitios web, utilizando falsos CAPTCHAs para engañar a los usuarios y ejecutar ataques de ClickFix. El objetivo final es instalar software malicioso en Windows que permite el control remoto de las víctimas.




Ciberdelincuentes están explotando un fallo de seguridad crítico recientemente revelado en Ghost CMS para inyectar código JavaScript malicioso con el objetivo de impulsar ataques de ClickFix.

Según QiAnXin XLab, la actividad implica la explotación de CVE-2026-26980 (puntuación CVSS: 9.4), una vulnerabilidad de inyección SQL en la API de contenido de Ghost que podría permitir que un atacante no autenticado lea datos arbitrarios de la base de datos. El fallo de seguridad se solucionó en febrero de 2026 en la versión 6.19.1.

Lo que hace que la vulnerabilidad sea grave es que permite a un atacante obtener acceso a la clave de la API de administración de un sitio sin permiso, otorgándoles la capacidad de envenenar el sitio inyectando código malicioso. La clave de la API de administración puede usarse para invocar la API de administración y puede modificar directamente los artículos publicados en el sistema de gestión de contenidos.

El actor de la amenaza aprovechó el fallo de seguridad para "obtener la clave de la API de administración del sitio objetivo sin autorización, y luego utilizó la API de administración de Ghost para manipular artículos en masa, inyectando cargadores de JavaScript maliciosos al final de las páginas para ayudar a los ataques de CAPTCHA falsos", afirmó XLab .

La actividad ha sido descrita por el proveedor de seguridad chino como una campaña de "envenenamiento a gran escala" que utiliza el fallo de Ghost CMS. Se estima que al menos dos grupos de amenazas diferentes están detrás de la campaña, implantando en algunos casos código malicioso en ciertos sitios en un solo día. Fue detectada por primera vez el 7 de mayo de 2026.

En total, la campaña ha comprometido más de 700 sitios web, abarcando sectores de universidades , blockchain, inteligencia artificial, software como servicio (SaaS), investigación de seguridad, medios y tecnología financiera. El hecho de que sitios web legítimos hayan sido vulnerados podría aumentar aún más la tasa de éxito de los ataques ClickFix, dijo XLab.

El código JavaScript inyectado al final de un artículo funciona como un cargador de dos etapas responsable de recuperar la carga útil principal en tiempo de ejecución desde un dominio externo ("clo4shara[.]xyz/11z77u3.php"). Esta arquitectura ofrece una flexibilidad añadida, ya que permite al atacante cambiar las cargas útiles basándose en diferentes criterios, manteniendo intacta la funcionalidad del cargador en varios sitios comprometidos.



"Acceder directamente a clo4shara[.]xyz/11z77u3.php revela un fragmento de código, que es en realidad un script típico de distribución de tráfico", explicó XLab. "Su función principal es recopilar diversa información de huella digital del navegador del usuario y cargarla al servidor, para luego realizar acciones como redireccionamientos, ventanas emergentes y descargas basadas en las instrucciones devueltas". El script PHP está impulsado por Adspect, un servicio comercial de cloaking.

La idea detrás del uso del script de cloaking es asegurar que solo las víctimas reales reciban la carga útil real, mientras que los escáneres de seguridad y los rastreadores solo verán una página web benigna. El script también admite 19 comandos diferentes para ejecutar código JavaScript arbitrario y facilitar el control remoto del navegador de la víctima.

Los visitantes del sitio considerados como los objetivos previstos reciben finalmente una página de verificación de CAPTCHA falsa dentro de un elemento HTML iframe para demostrar que son humanos. Esto, a su vez, desencadena un ataque ClickFix, como parte del cual se les indica que copien y peguen un comando codificado en Base64 en el cuadro de diálogo Ejecutar de Windows.

El comando sirve como un dropper para entregar un archivo ZIP y extrae de él un script de procesamiento por lotes de Windows y lo ejecuta. El script, por su parte, ejecuta un comando de PowerShell para descargar un archivo DLL desde un dominio remoto, lanzarlo usando "rundll32.exe" y abrir una página web falsa al usuario como distracción.

Se ha descubierto que iteraciones posteriores del malware reemplazan la DLL con una carga útil de JavaScript. Independientemente del tipo de carga, el objetivo final del ataque es soltar un ejecutable de Windows. En el caso de la DLL, el ejecutable es un cliente PuTTY con un certificado de firma de código válido. El binario distribuido vía JavaScript es un instalador Inno Setup para una aplicación Electron.

La aplicación es una versión modificada del cliente de escritorio de código abierto Grape diseñada para lograr persistencia y consultar un servidor remoto ("web-telegram[.]ug") cada 30 segundos para procesar instrucciones emitidas por el atacante, incluyendo la ejecución de código JavaScript o archivos ejecutables.

Se aconseja a los usuarios de Ghost CMS actualizar sus instancias a la versión más reciente, rotar todas las credenciales, limpiar los sitios, auditar los registros de acceso en busca de signos de actividad sospechosa y notificar a los usuarios que puedan haber visitado los sitios durante el período de contaminación por posible compromiso.

Fuente:
THN