🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os agentes de ameaças estão explorando uma falha crítica de segurança recentemente divulgada no Ghost CMS para injetar código JavaScript malicioso com o objetivo de alimentar ataques ClickFix.
De acordo com QiAnXin XLab, a atividade envolve a exploração de CVE-2026-26980 (pontuação CVSS: 9,4), uma vulnerabilidade de injeção de SQL na API de conteúdo do Ghost que pode permitir que um invasor não autenticado leia dados arbitrários do banco de dados. A falha de segurança foi corrigida em fevereiro de 2026 na versão 6.19.1. A vulnerabilidade foi descoberta pela Anthropic usando Claude.
O que torna a vulnerabilidade grave é que ela permite que um invasor obtenha acesso à chave API de administrador de um site sem permissão, concedendo-lhe a capacidade de envenenar o site injetando código malicioso. A chave API admin pode ser usada para invocar a API admin e pode modificar diretamente artigos publicados no sistema de gerenciamento de conteúdo.
O agente da ameaça aproveitou a falha de segurança para “obter a chave de API Admin do site alvo sem autorização e, em seguida, usou a API Ghost Admin para adulterar artigos em massa, injetando carregadores JavaScript maliciosos na parte inferior das páginas para auxiliar ataques CAPTCHA falsos”, disse XLab.
A atividade foi descrita pelo fornecedor de segurança chinês como uma campanha de “envenenamento em grande escala” que utiliza como arma a falha do Ghost CMS. Pelo menos dois grupos de ameaças diferentes são avaliados como estando por trás da campanha, em alguns casos implantando códigos maliciosos em determinados sites em um único dia. Foi detectado pela primeira vez em 7 de maio de 2026.
Ao todo, a campanha comprometeu mais de 700 sites, abrangendo universidades, blockchain, inteligência artificial, software como serviço (SaaS), pesquisa de segurança, mídia e setores de tecnologia financeira. O fato de sites legítimos terem sido violados pode aumentar ainda mais a taxa de sucesso dos ataques ClickFix, disse XLab.
O código JavaScript injetado na parte inferior de um artigo funciona como um carregador de dois estágios responsável por recuperar a carga principal em tempo de execução de um domínio externo ("clo4shara[.]xyz/11z77u3.php"). Essa arquitetura oferece flexibilidade adicional, pois permite que o agente da ameaça troque as cargas com base em diferentes critérios, ao mesmo tempo que mantém intacta a funcionalidade do carregador em vários sites comprometidos.
“Acessar diretamente clo4shara[.]xyz/11z77u3.php revela um pedaço de código, que na verdade é um script típico de distribuição de tráfego”, explicou XLab. “Sua função principal é coletar várias informações de impressão digital do navegador do usuário e carregá-las no servidor e, em seguida, executar ações como redirecionamento, pop-ups e downloads com base nas instruções retornadas.” O script PHP é desenvolvido pelo Adspect, um serviço comercial de camuflagem.
A ideia por trás do uso do script de cloaking é garantir que apenas vítimas reais recebam a carga útil real, enquanto os scanners de segurança e rastreadores verão apenas uma página da web benigna. O script também suporta 19 comandos diferentes para executar código JavaScript arbitrário e facilitar o controle remoto do navegador da vítima.
Os visitantes do site considerados alvos pretendidos recebem uma página falsa de verificação CAPTCHA dentro de um elemento HTML iframe para provar que são humanos. Isso, por sua vez, desencadeia um ataque ClickFix, como parte do qual eles são instruídos a copiar e colar um comando codificado em Base64 na caixa de diálogo Executar do Windows.
O comando serve como um conta-gotas para entregar um arquivo ZIP, extrair dele um script em lote do Windows e executá-lo. O script, por sua vez, executa um comando do PowerShell para baixar um arquivo DLL de um domínio remoto, iniciá-lo usando “rundll32.exe” e abrir uma página da web falsa para o usuário como uma distração.
Descobriu-se que iterações subsequentes do malware substituíram a DLL por uma carga JavaScript. Independentemente do tipo de carga útil, o objetivo final do ataque é descartar um executável do Windows. No caso da DLL, o executável é um cliente PuTTY com um certificado de assinatura de código válido. O binário distribuído via JavaScript é um instalador Inno Setup para um aplicativo Electron.
O aplicativo é uma versão modificada do cliente de desktop Grape de código aberto, projetado para obter persistência e pesquisar um servidor remoto ("web-telegram[.]ug") a cada 30 segundos para processar instruções emitidas pelo invasor, incluindo a execução de código JavaScript ou arquivos executáveis.
Os usuários do Ghost CMS são aconselhados a atualizar suas instâncias para a versão mais recente, alternar todas as credenciais, limpar os sites, auditar os logs de acesso em busca de sinais de atividades suspeitas e notificar os usuários que possam ter visitado os sites durante o período de contaminação para possíveis comprometimentos.
De acordo com QiAnXin XLab, a atividade envolve a exploração de CVE-2026-26980 (pontuação CVSS: 9,4), uma vulnerabilidade de injeção de SQL na API de conteúdo do Ghost que pode permitir que um invasor não autenticado leia dados arbitrários do banco de dados. A falha de segurança foi corrigida em fevereiro de 2026 na versão 6.19.1. A vulnerabilidade foi descoberta pela Anthropic usando Claude.
O que torna a vulnerabilidade grave é que ela permite que um invasor obtenha acesso à chave API de administrador de um site sem permissão, concedendo-lhe a capacidade de envenenar o site injetando código malicioso. A chave API admin pode ser usada para invocar a API admin e pode modificar diretamente artigos publicados no sistema de gerenciamento de conteúdo.
O agente da ameaça aproveitou a falha de segurança para “obter a chave de API Admin do site alvo sem autorização e, em seguida, usou a API Ghost Admin para adulterar artigos em massa, injetando carregadores JavaScript maliciosos na parte inferior das páginas para auxiliar ataques CAPTCHA falsos”, disse XLab.
A atividade foi descrita pelo fornecedor de segurança chinês como uma campanha de “envenenamento em grande escala” que utiliza como arma a falha do Ghost CMS. Pelo menos dois grupos de ameaças diferentes são avaliados como estando por trás da campanha, em alguns casos implantando códigos maliciosos em determinados sites em um único dia. Foi detectado pela primeira vez em 7 de maio de 2026.
Ao todo, a campanha comprometeu mais de 700 sites, abrangendo universidades, blockchain, inteligência artificial, software como serviço (SaaS), pesquisa de segurança, mídia e setores de tecnologia financeira. O fato de sites legítimos terem sido violados pode aumentar ainda mais a taxa de sucesso dos ataques ClickFix, disse XLab.
O código JavaScript injetado na parte inferior de um artigo funciona como um carregador de dois estágios responsável por recuperar a carga principal em tempo de execução de um domínio externo ("clo4shara[.]xyz/11z77u3.php"). Essa arquitetura oferece flexibilidade adicional, pois permite que o agente da ameaça troque as cargas com base em diferentes critérios, ao mesmo tempo que mantém intacta a funcionalidade do carregador em vários sites comprometidos.
“Acessar diretamente clo4shara[.]xyz/11z77u3.php revela um pedaço de código, que na verdade é um script típico de distribuição de tráfego”, explicou XLab. “Sua função principal é coletar várias informações de impressão digital do navegador do usuário e carregá-las no servidor e, em seguida, executar ações como redirecionamento, pop-ups e downloads com base nas instruções retornadas.” O script PHP é desenvolvido pelo Adspect, um serviço comercial de camuflagem.
A ideia por trás do uso do script de cloaking é garantir que apenas vítimas reais recebam a carga útil real, enquanto os scanners de segurança e rastreadores verão apenas uma página da web benigna. O script também suporta 19 comandos diferentes para executar código JavaScript arbitrário e facilitar o controle remoto do navegador da vítima.
Os visitantes do site considerados alvos pretendidos recebem uma página falsa de verificação CAPTCHA dentro de um elemento HTML iframe para provar que são humanos. Isso, por sua vez, desencadeia um ataque ClickFix, como parte do qual eles são instruídos a copiar e colar um comando codificado em Base64 na caixa de diálogo Executar do Windows.
O comando serve como um conta-gotas para entregar um arquivo ZIP, extrair dele um script em lote do Windows e executá-lo. O script, por sua vez, executa um comando do PowerShell para baixar um arquivo DLL de um domínio remoto, iniciá-lo usando “rundll32.exe” e abrir uma página da web falsa para o usuário como uma distração.
Descobriu-se que iterações subsequentes do malware substituíram a DLL por uma carga JavaScript. Independentemente do tipo de carga útil, o objetivo final do ataque é descartar um executável do Windows. No caso da DLL, o executável é um cliente PuTTY com um certificado de assinatura de código válido. O binário distribuído via JavaScript é um instalador Inno Setup para um aplicativo Electron.
O aplicativo é uma versão modificada do cliente de desktop Grape de código aberto, projetado para obter persistência e pesquisar um servidor remoto ("web-telegram[.]ug") a cada 30 segundos para processar instruções emitidas pelo invasor, incluindo a execução de código JavaScript ou arquivos executáveis.
Os usuários do Ghost CMS são aconselhados a atualizar suas instâncias para a versão mais recente, alternar todas as credenciais, limpar os sites, auditar os logs de acesso em busca de sinais de atividades suspeitas e notificar os usuários que possam ter visitado os sites durante o período de contaminação para possíveis comprometimentos.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ghost #cms #cve202626980 #explorado #para #sequestrar #mais #de #700 #sites #para #ataques #clickfix
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário