Angreifer nutzen eine kritische Sicherheitslücke im Content-Management-System (CMS) „Ghost“ aus, um mehr als 700 legitime Websites zu kapern und einen gefälschten Cloudflare-Verifizierungsschritt einzublenden, der Besucher dazu verleitet, einen Windows auszuführen, der Malware installiert.
Diese Social-Engineering-Kampagnen, bei denen Website-Besucher dazu verleitet werden, schädliche Befehle auf ihren Systemen auszuführen, sind allgemein als „ClickFix“-Angriffe bekannt. In diesem Fall nutzten Cyberkriminelle Websites vertrauenswürdiger Organisationen, darunter Universitäten und Technologieunternehmen, als Verbreitungsplattformen für die Malware-Kampagne.
Mehr als 700 mit Ghost betriebene Websites wurden durch eine bekannte SQL-Injection-Sicherheitslücke mit der Kennung CVE-2026-26980 kompromittiert. Die Angreifer nutzten diesen Fehler, um administrative API-Schlüssel zu stehlen und unbemerkt bösartiges JavaScript in Beiträge und Seiten der betroffenen Websites einzuschleusen.
Forscher stellten fest, dass das eingeschleuste Skript einen ClickFix-Ablauf der zweiten Stufe lädt, der den Besuchern einen gefälschten Cloudflare- oder CAPTCHA-Verifizierungsdialog anzeigt.
Anstelle eines normalen Kontrollkästchens fordert die Seite die Nutzer auf, einen Befehl zu kopieren und in den Windows oder in PowerShell einzufügen, wodurch sie dazu verleitet werden, Malware auf ihren eigenen Systemen zu installieren.
Informationen für Website-Betreiber
Im Mittelpunkt dieser Kampagne steht ein kritischer SQL-Injection-Fehler in der Content-API von Ghost. Die Forscher stellten fest:
„Ohne jegliche Authentifizierung kann ein Angreifer über diese Sicherheitslücke direkt auf den Inhalt der Datenbank zugreifen, einschließlich des Admin-API-Schlüssels, der zum Aufruf der Ghost-Admin-API verwendet wird.“
Die Sicherheitslücke betrifft Ghost-Versionen 3.24.0 bis 6.19.0 und kann ohne Anmeldung ausgenutzt werden.
Eine gepatchte Version ist nun verfügbar und sollte so schnell wie möglich installiert werden. Nicht nur wegen der ClickFix-Kampagne: Sobald Angreifer einen Admin-API-Schlüssel gestohlen haben, können sie Beiträge bearbeiten, löschen oder erstellen, Skripte einschleusen, Themes kapern und auf andere Weise Inhalte manipulieren, die für Benutzer sichtbar sind.
Wie man sicher bleibt
Diese Kampagne dürfte besonders wirkungsvoll sein, da die Anweisungen als harmlose technische Schritte getarnt sind, wie etwa „Bestätigen Sie, dass Sie ein Mensch sind“, „Stellen Sie Ihre Verbindung her“ oder „Weiter zur Website“. Noch schlimmer ist, dass die Inhalte auf Websites erscheinen, denen die Nutzer bereits vertrauen.
Da ClickFix derzeit weit verbreitet ist – und es nicht so aussieht, als würde sich daran in nächster Zeit etwas ändern –, ist es wichtig, aufmerksam, vorsichtig und geschützt zu sein.
- Mach langsam.Befolge keineAnweisungen auf einer Webseite, ohne sie gründlich zu überdenken, insbesondere wenn du auf der Seite aufgefordert wirst, Befehle auf deinem Gerät auszuführen oder Code zu kopieren und einzufügen. Angreifer nutzen das Gefühl der Dringlichkeit aus, um kritisches Denken zu umgehen, und viele ClickFix-Seiten verwenden Countdowns, gefälschte Besucherzähler oder andere Druckmittel, um dich zu schnellem Handeln zu bewegen.
- Führen Sie keine Befehle oder Skripte aus nicht vertrauenswürdigen Quellen aus.Führen Sie niemalsCode oder Befehle aus, die Sie von Websites, aus E-Mails oder Nachrichten kopiert haben, es sei denn, Sie vertrauen der Quelle und verstehen den Zweck der Aktion. Wenn Sie auf einer Website aufgefordert werden, einen Befehl auszuführen oder eine technische Aktion durchzuführen, überprüfen Sie die offizielle Dokumentation oder wenden Sie sich an den Support, bevor Sie fortfahren.
- Seien Sie vorsichtig beim Einfügen von Befehlen. Angreifer verstecken schädliche Payloads häufig im Text der Zwischenablage. Wenn Sie Befehle manuell eingeben, anstatt sie einzufügen, können Sie das Risiko verringern, unwissentlich versteckte schädliche Payloads auszuführen.
- Sichern Sie Ihre Geräte. Verwenden Sieeine aktuelle Echtzeit-Anti-Malware-Lösungmit einer Webschutzkomponente.
- Bleiben Sie über neue Angriffstechniken auf dem Laufenden.Cyberkriminelle passen ihre Methoden ständig an, und das eigene Bewusstsein ist nach wie vor eine Ihrer besten Verteidigungsstrategien – lesen Sie also weiterhin unseren Blog!
Profi-Tipp:Wusstest du, dass das kostenlose Malwarebytes Browser Guard dich warnt, wenn eine Website versucht, etwas in deine Zwischenablage zu kopieren?
Beugen Sie Bedrohungen vor, bevor sie Schaden anrichten können.
Malwarebytes Browser Guard Phishing-Seiten und bösartige Websites automatisch. Kostenlos und mit nur einem Klick zu installieren. Zu Ihrem Browser hinzufügen →
