Des pirates exploitent une faille critique du système de gestion de contenu (CMS) Ghost pour détourner plus de 700 sites web légitimes et y insérer une fausse étape de vérification Cloudflare qui incite les visiteurs à exécuter une Windows installant un logiciel malveillant.
Ces campagnes d'ingénierie sociale — dans lesquelles les visiteurs de sites web sont amenés par la ruse à exécuter des commandes malveillantes sur leurs systèmes — sont communément appelées « attaques ClickFix ». Dans ce cas précis, les cybercriminels ont détourné des sites web appartenant à des organisations de confiance, notamment des universités et des entreprises technologiques, pour en faire des plateformes de diffusion de cette campagne de logiciels malveillants.
Plus de 700 sites web fonctionnant sous Ghost ont été compromis à la suite d'une faille de sécurité de type injection SQL, référencée sous le code CVE-2026-26980. Les pirates ont exploité cette faille pour voler des clés API administratives et injecter discrètement du code JavaScript malveillant dans les articles et les pages des sites concernés.
Les chercheurs ont découvert que le script injecté chargeait un flux ClickFix de deuxième niveau, présentant aux visiteurs une fausse boîte de dialogue de vérification Cloudflare ou CAPTCHA.
Au lieu d'une case à cocher classique, la page invite les utilisateurs à copier-coller une commande dans la boîte de dialogue Windows ou dans PowerShell, les amenant ainsi à installer des logiciels malveillants sur leur propre système.
Informations destinées aux administrateurs de sites web
Au cœur de cette campagne se trouve une faille critique de type injection SQL dans l'API de contenu de Ghost. Les chercheurs ont noté :
« Sans aucune authentification, un pirate peut directement consulter le contenu de la base de données via cette faille, y compris la clé API d'administration utilisée pour appeler l'API d'administration de Ghost. »
Cette faille concerne les versions 3.24.0 à 6.19.0 de Ghost et peut être exploitée sans qu'il soit nécessaire de se connecter.
Une version corrigée est désormais disponible et doit être installée dès que possible. Et ce, pas seulement en raison de la campagne ClickFix : dès lors que des pirates ont dérobé une clé API d'administrateur, ils peuvent modifier, supprimer ou créer des articles, injecter des scripts, détourner des thèmes et altérer le contenu destiné aux utilisateurs de bien d'autres façons.
Comment rester en sécurité
Cette campagne risque d'être particulièrement efficace, car les instructions sont présentées comme des étapes techniques anodines, telles que « vérifiez que vous êtes bien un utilisateur humain », « corrigez votre connexion » ou « accédez au site ». Pire encore, ce contenu apparaît sur des sites web auxquels les utilisateurs font déjà confiance.
Avec ClickFix qui sévit sans relâche – et qui ne semble pas prêt de disparaître –, il est important d'être vigilant, prudent et protégé.
- Prenez votre temps. Nesuivez pasles instructions d'une page Web sans y réfléchir, surtout si celle-ci vous demande d'exécuter des commandes sur votre appareil ou de copier-coller du code. Les pirates misent sur le sentiment d'urgence pour contourner votre esprit critique, et de nombreuses pages ClickFix utilisent des comptes à rebours, de faux compteurs d'utilisateurs ou d'autres tactiques de pression pour vous pousser à agir rapidement.
- Évitez d'exécuter des commandes ou des scripts provenant de sources non fiables. N'exécutez jamaisde code ou de commandes copiés à partir de sites web, d'e-mails ou de messages, sauf si vous faites confiance à la source et que vous comprenez l'objectif de l'opération. Si un site web vous invite à exécuter une commande ou à effectuer une opération technique, consultez la documentation officielle ou contactez le service d'assistance avant de poursuivre.
- Soyez prudent lorsque vous copiez-collez des commandes. Les pirates dissimulent souvent des charges malveillantes dans le contenu du presse-papiers. Saisir les commandes manuellement plutôt que de les copier-coller permet de réduire le risque d'exécuter à son insu des charges malveillantes cachées.
- Sécurisez vos appareils. Utilisezunesolution anti-malwareà jour et en temps réel, dotée d'un composant de protection Web.
- Restez informé de l'évolution des techniques d'attaque.Les cybercriminels adaptent sans cesse leurs méthodes, et la vigilance reste l'un de vos meilleurs moyens de défense. Alors, continuez à lire notre blog !
Astuce de pro :Saviez-vous que le logiciel gratuit Malwarebytes Browser Guard vous avertit lorsqu'un site web tente de copier quelque chose dans votre presse-papiers ?
Mettez fin aux menaces avant qu'elles ne causent du tort.
Malwarebytes Browser Guard automatiquement les pages de hameçonnage et les sites malveillants. Gratuit, s'installe en un clic. Ajoutez-le à votre navigateur →
