Los atacantes comprometen 700 sitios de Ghost CMS para lanzar ataques ClickFix

Un ataque masivo que explota una vulnerabilidad crítica de Ghost CMS (CVE-2026-26980) infectó más de 700 sitios web, exponiéndolos a ataques "ClickFix" que inducen falsas verificaciones de seguridad.

Traducción completa

Los atacantes están inyectando código JavaScript malicioso con el objetivo de desplegar ataques ClickFix que inducen falsas verificaciones de seguridad, aprovechando una falla de seguridad crítica recientemente revelada en Ghost CMS.

Según QiAnXin XLab, el ataque explota CVE-2026-26980 (puntuación CVSS: 9.4), una vulnerabilidad de inyección SQL descubierta en la Content API de Ghost. Esta falla permite que un atacante no autenticado lea datos arbitrarios de la base de datos. El problema fue corregido en la versión 6.19.1, lanzada en febrero de 2026, y la propia vulnerabilidad fue descubierta por Anthropic usando su IA Claude.

Lo que hace especialmente peligrosa a esta vulnerabilidad es que permite a los atacantes robar la clave de la Admin API del sitio sin necesidad de privilegios. Una vez obtenida esa clave, los atacantes adquieren permisos para modificar directamente los artículos publicados en Ghost CMS, lo que les permite realizar la llamada "contaminación de contenido" mediante la inyección no autorizada de código malicioso en el sitio.

XLab explicó: "Los atacantes aprovecharon esta falla de seguridad para obtener sin autorización la clave de la Admin API de los sitios objetivo y luego manipularon artículos en masa usando la Admin API de Ghost", y añadió: "Inyectaron un loader JavaScript malicioso en la parte inferior de las páginas para facilitar un ataque de falsa verificación CAPTCHA".

La firma china de seguridad XLab describió esta actividad como una campaña de "contaminación masiva" que convirtió en arma la falla de Ghost CMS. Se estima que al menos dos grupos de amenazas distintos están detrás de la campaña, y en algunos sitios el malware fue implantado apenas un día después de que la vulnerabilidad quedara expuesta. El ataque fue detectado por primera vez el 7 de mayo de 2026.

Hasta ahora, más de 700 sitios web de sectores como universidades, blockchain, inteligencia artificial (IA), software como servicio (SaaS), investigación en seguridad, medios y tecnología financiera han sido comprometidos {b:100}. XLab advirtió que, debido a que se trata de sitios legítimos y confiables que fueron hackeados, es más probable que los usuarios caigan en el engaño, lo que puede elevar aún más la tasa de éxito de los ataques ClickFix.

El código JavaScript inyectado al final de los artículos actúa como un loader de segunda etapa y, cuando el usuario abre la página y se ejecuta, se encarga de obtener la carga útil principal desde un dominio externo (clo4shara[.]xyz/11z77u3.php). Esta estructura ofrece una gran flexibilidad a los atacantes, ya que pueden mantener la función del loader en múltiples sitios infectados y sustituir fácilmente la carga útil principal en cualquier momento según sus propios criterios.

XLab señaló: "Si se accede directamente a esa dirección (clo4shara[.]xyz/11z77u3.php), puede verse código compuesto por un script típico de distribución de tráfico", y agregó: "La función principal de este script es recopilar diversos fingerprints del navegador del usuario y enviarlos al servidor, para luego ejecutar acciones maliciosas como redirecciones, ventanas emergentes o descargas según las instrucciones devueltas por el servidor". Este script PHP funciona sobre Adspect, un servicio comercial de cloaking (control de acceso y ocultamiento).

La razón para usar este tipo de scripts de cloaking es mostrar páginas web normales a los equipos de detección de seguridad o a los rastreadores, mientras que solo se entrega la carga maliciosa a los usuarios comunes que constituyen el verdadero objetivo. Además, el script admite 19 comandos diferentes que permiten ejecutar código JavaScript arbitrario y controlar remotamente el navegador de la víctima.

A los visitantes identificados como objetivos se les muestra, mediante un elemento HTML iframe, una página falsa de verificación CAPTCHA que les pide demostrar que no son robots. Es ahí donde comienza de lleno el ataque ClickFix, guiando al usuario para que copie un comando codificado en Base64 y lo pegue en la ventana Ejecutar de Windows.

Cuando el usuario ejecuta ese comando, se activa un dropper que descarga un archivo comprimido (ZIP), lo descomprime y ejecuta un script Batch de Windows incluido en su interior. Ese script Batch, a su vez, ejecuta un comando de PowerShell para descargar un archivo DLL desde un dominio remoto y luego ejecutarlo mediante rundll32.exe. Al mismo tiempo, abre una página web falsa para distraer al usuario y evitar sospechas.

En variantes de malware descubiertas posteriormente, se usó una carga útil JavaScript en lugar del archivo DLL. Pero sin importar la forma de la carga útil, el objetivo final del ataque es instalar un ejecutable de Windows (EXE) en la PC del usuario. En la versión con DLL, el ejecutable instalado es el cliente PuTTY, que incluye un certificado de firma de código válido; mientras que el binario distribuido a través de JavaScript está empaquetado como un instalador Inno Setup para una aplicación Electron.

La aplicación instalada de esta forma es una versión modificada del cliente de escritorio de código abierto Grape. Permanece de forma persistente en el sistema, enviando una señal cada 30 segundos al servidor remoto (web-telegram[.]ug) para comprobar las órdenes del atacante, y se encarga de ejecutar código JavaScript o archivos ejecutables.

Se recomienda a los usuarios de Ghost CMS actualizar de inmediato sus instancias a la versión más reciente y restablecer todas las credenciales de autenticación, incluidas contraseñas y claves API, para evitar daños. Además, deben limpiar completamente el sitio, auditar cuidadosamente los registros de acceso en busca de indicios de actividad sospechosa y advertir a los usuarios que podrían haber visitado el sitio durante el período de contaminación sobre el riesgo de haber sido expuestos al ataque.