Tin tặc chiếm quyền 700 trang web Ghost CMS để thực hiện tấn công ClickFix

Trong một chiến dịch tấn công quy mô lớn khai thác lỗ hổng nghiêm trọng của Ghost CMS (CVE-2026-26980), hơn 700 trang web đã bị lây nhiễm và bị lợi dụng để dẫn dụ người dùng thực hiện xác minh bảo mật giả trong các cuộc tấn công 'ClickFix'.

Bản dịch đầy đủ

Các đối tượng tấn công đang lợi dụng một lỗ hổng bảo mật nghiêm trọng mới được công bố trong Ghost CMS để chèn mã JavaScript độc hại, nhằm triển khai các cuộc tấn công ClickFix dẫn dụ người dùng thực hiện xác minh bảo mật giả.

Theo QiAnXin XLab, cuộc tấn công này khai thác CVE-2026-26980 (điểm CVSS: 9.4), một lỗ hổng SQL injection được phát hiện trong Content API của Ghost. Lỗ hổng này cho phép kẻ tấn công chưa xác thực đọc dữ liệu tùy ý từ cơ sở dữ liệu. Lỗi bảo mật này đã được vá trong phiên bản 6.19.1 phát hành vào tháng 2/2026, và bản thân lỗ hổng được Anthropic phát hiện bằng AI Claude của hãng.

Lý do lỗ hổng này đặc biệt nguy hiểm là vì kẻ tấn công có thể đánh cắp khóa Admin API của trang web mà không cần quyền truy cập. Sau khi có được khóa Admin API, chúng sẽ có quyền trực tiếp chỉnh sửa các bài viết được đăng trên Ghost CMS, từ đó có thể thực hiện hành vi gọi là "đầu độc nội dung" bằng cách chèn mã độc trái phép vào trang.

XLab cho biết: "Các đối tượng tấn công đã lợi dụng lỗ hổng bảo mật này để chiếm đoạt trái phép khóa Admin API của các trang web mục tiêu, sau đó dùng Ghost Admin API để sửa đổi hàng loạt bài viết", đồng thời nói thêm rằng "chúng đã chèn một trình nạp JavaScript độc hại vào cuối trang để hỗ trợ các cuộc tấn công xác minh CAPTCHA giả".

Công ty an ninh mạng Trung Quốc XLab mô tả hoạt động này là một chiến dịch "ô nhiễm diện rộng" đã vũ khí hóa lỗ hổng trong Ghost CMS. Đứng sau chiến dịch này được cho là có ít nhất 2 nhóm đe dọa khác nhau, và trong một số trường hợp, mã độc đã được cấy chỉ một ngày sau khi lỗ hổng bị phơi bày. Cuộc tấn công lần đầu được ghi nhận vào ngày 7/5/2026.

Cho đến nay, hơn 700 trang web thuộc các lĩnh vực đại học, blockchain, trí tuệ nhân tạo (AI), phần mềm dạng dịch vụ (SaaS), nghiên cứu bảo mật, truyền thông và fintech đã bị xâm phạm trong chiến dịch này {b:100}. XLab cảnh báo rằng vì các trang web hợp pháp và có độ tin cậy cao đã bị hack, người dùng sẽ dễ bị lừa hơn, từ đó làm tăng thêm tỷ lệ thành công của các cuộc tấn công ClickFix.

Đoạn mã JavaScript được chèn ở cuối bài viết đóng vai trò là trình nạp hai giai đoạn, chịu trách nhiệm tải payload chính từ tên miền bên ngoài ("clo4shara[.]xyz/11z77u3.php") vào thời điểm người dùng mở trang và mã được thực thi. Cấu trúc này mang lại cho kẻ tấn công mức độ linh hoạt rất cao. Chúng có thể giữ nguyên chức năng loader trên nhiều trang web bị nhiễm, đồng thời dễ dàng thay thế payload chính bất kỳ lúc nào theo tiêu chí chúng đặt ra.

XLab cho biết: "Nếu truy cập trực tiếp vào địa chỉ đó (clo4shara[.]xyz/11z77u3.php), có thể thấy mã được cấu thành như một script phân phối lưu lượng điển hình", và nói thêm rằng "chức năng cốt lõi của script này là thu thập nhiều loại fingerprint nhận dạng trình duyệt người dùng rồi gửi về máy chủ, sau đó thực hiện các hành vi độc hại như chuyển hướng, hiển thị cửa sổ bật lên và tải xuống theo lệnh trả về từ máy chủ". Script PHP này hoạt động dựa trên Adspect, một dịch vụ cloaking thương mại.

Lý do sử dụng các script cloaking như vậy là để chỉ hiển thị trang web bình thường cho các thiết bị phát hiện bảo mật hoặc crawler, trong khi chỉ phân phối payload độc hại cho người dùng thông thường là mục tiêu thực sự của cuộc tấn công. Ngoài ra, script này hỗ trợ 19 loại lệnh khác nhau có thể thực thi mã JavaScript tùy ý và điều khiển trình duyệt của nạn nhân từ xa.

Với những khách truy cập được xác định là mục tiêu tấn công, một trang xác minh CAPTCHA giả sẽ xuất hiện thông qua phần tử HTML iframe, dụ họ chứng minh rằng mình "không phải robot". Đây là lúc cuộc tấn công ClickFix thực sự bắt đầu, khi người dùng bị hướng dẫn làm theo chỉ dẫn trên màn hình để sao chép một lệnh được mã hóa bằng Base64 rồi dán vào hộp thoại Run của Windows.

Khi người dùng chạy lệnh này, một dropper sẽ tải xuống một tệp nén ZIP, giải nén rồi chạy script batch Windows bên trong. Script batch này tiếp tục thực thi lệnh PowerShell để tải một tệp DLL từ tên miền từ xa, sau đó chạy nó thông qua "rundll32.exe". Đồng thời, để tránh làm người dùng nghi ngờ, nó cũng mở một trang web giả nhằm đánh lạc hướng.

Trong các biến thể mã độc được phát hiện sau đó, payload JavaScript đôi khi được dùng thay cho tệp DLL. Tuy nhiên, bất kể payload ở dạng nào, mục tiêu cuối cùng của cuộc tấn công này là cài một tệp thực thi Windows (EXE) lên PC của người dùng. Trong phiên bản DLL, chương trình được cài là ứng dụng khách PuTTY có kèm chứng chỉ ký mã hợp lệ; còn nhị phân phát tán qua JavaScript được đóng gói dưới dạng bộ cài Inno Setup cho ứng dụng Electron.

Ứng dụng được cài đặt theo cách này là một phiên bản đã bị chỉnh sửa của ứng dụng desktop mã nguồn mở Grape. Nó liên tục bám trụ trên hệ thống, gửi tín hiệu tới máy chủ từ xa ("web-telegram[.]ug") mỗi 30 giây để kiểm tra lệnh do kẻ tấn công đưa ra, đồng thời đảm nhiệm việc thực thi mã JavaScript hoặc tệp thực thi.

Người dùng Ghost CMS nên ngay lập tức nâng cấp instance của mình lên phiên bản mới nhất để phòng tránh thiệt hại, đồng thời đặt lại toàn bộ thông tin xác thực, bao gồm mật khẩu và API key. Ngoài ra, họ cần dọn sạch bên trong trang web, kiểm tra kỹ access log để tìm dấu vết hoạt động đáng ngờ, và nên thông báo cho những người dùng có khả năng đã truy cập trang trong thời gian bị đầu độc về rủi ro bị tấn công để họ nâng cao cảnh giác.