SchwachstellenHackerangriffeMalware

Ghost CMS: Über 700 Websites für ClickFix-Attacken gehackt

Von CyberDeutsch Redaktion
Ghost CMS: Über 700 Websites für ClickFix-Attacken gehackt
Zusammenfassung

Eine kritische Sicherheitslücke in Ghost CMS wird derzeit massiv ausgenutzt, um Hunderte von Websites für betrügerische ClickFix-Angriffe zu kompromittieren. Die Schwachstelle CVE-2026-26980 ist eine SQL-Injection-Lücke in der Content API des beliebten Content-Management-Systems, die es Angreifern ermöglicht, ohne Authentifizierung auf Admin-API-Schlüssel zuzugreifen und damit beliebigen Code in veröffentlichte Artikel einzuschleusen. Seit ihrer Entdeckung im Februar 2026 haben Cyberkriminelle diese Lücke genutzt, um mehr als 700 Websites aus verschiedensten Bereichen — darunter Universitäten, Fintech-Unternehmen, KI-Anbieter und Sicherheitsforschungsorganisationen — zu infiltrieren. Die Angreifer injizieren dabei böswillige JavaScript-Code, der Nutzer auf gefälschte CAPTCHA-Seiten leitet und sie schließlich zu unsicheren Befehlen verführt. Für deutsche Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar, besonders wenn sie Ghost CMS einsetzen: Websites könnten unbemerkt kompromittiert werden, Besucher könnten Malware herunterladen und vertrauliche Daten gefährdet sein. Organisationen sollten sofort ihre Ghost-Installationen aktualisieren und verdächtige Aktivitäten überprüfen.

Die Schwachstelle wurde bereits im Februar 2026 in Version 6.19.1 behoben, doch viele Website-Betreiber haben das Update nicht eingespielt — mit fatalen Folgen. Die Angreifer nutzten die Lücke, um sich Admin-Rechte zu verschaffen und dann schrittweise malicious JavaScript-Code in bestehende Artikel einzuschleusen.

Zweistufiger Angriffsablauf

Die eingespritzte JavaScript-Loader-Funktion agiert als Türöffner: Sie ruft die Malware-Nutzlast von einer externen Domain ab (clo4shara[.]xyz/11z77u3.php). Diese Architektur ermöglicht es den Angreifern, Payloads flexibel auszutauschen, während der Loader unauffällig bleibt. Der Zielserver einsetzt Adspect, einen kommerziellen Cloaking-Dienst, um zu unterscheiden zwischen echten Opfern und Sicherheits-Scannern — letztere sehen eine harmlose Webseite.

Das ClickFix-Szenario

Legitime Besucher erhalten eine gefälschte CAPTCHA-Verifizierung in einem iframe angezeigt. Sie werden aufgefordert, einen Base64-codierten Befehl in den Windows-Dialog „Ausführen” zu kopieren und einzufügen. Dieser Befehl fungiert als Dropper für eine ZIP-Datei, die einen Batch-Script sowie PowerShell-Kommandos enthält. Das Script lädt dann eine DLL-Datei herunter — in neueren Varianten auch ein Electron-Installer.

Persistentes Backdoor

Die heruntergeladenen Dateien sind bemerkenswert: Die DLL ist ein mit gültigem Code-Signaturzertifikat signierter PuTTY-Client, die JavaScript-Variante installiert eine modifizierte Version des Grape-Desktop-Clients. Beide verbinden sich regelmäßig mit einem Command-and-Control-Server (web-telegram[.]ug) und lauschen auf Anweisungen des Angreifers.

Handlungsbedarf für Betreiber

Ghost-Nutzer sollten sofort auf Version 6.19.1 oder neuer upgraden, alle Zugangsdaten zurücksetzen, die Websites säubern und Zugriffsprotokolle überprüfen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zudem, Benutzer zu informieren, die während des Infektionszeitraums die Seiten besuchten — insbesondere wegen möglicher Malware-Infektionen auf ihren Rechnern. Dies ist auch eine Datenschutz-Meldepflicht gemäß DSGVO, wenn personenbezogene Daten betroffen sind.

Ähnliche Artikel