Ошибки, Новости

Более 700 сайтов, посвященных образованию и технологиям, стали жертвами масштабной вредоносной кампании ClickFix

Автор: Питер Арнтц | 26 мая 2026 г.
ClickFix имитирует Windows

Злоумышленники используют критическую уязвимость системы управления контентом Ghost ( ,CMS) для взлома более 700 легитимных веб-сайтов и внедрения поддельного этапа проверки Cloudflare, который заставляет посетителей запускать Windows , устанавливающую вредоносное ПО.

Эти кампании по социальной инженерии, в ходе которых посетителей веб-сайтов обманом заставляют выполнять вредоносные команды на своих компьютерах, широко известны как атаки «ClickFix». В данном случае киберпреступники превратили веб-сайты авторитетных организаций, в том числе университетов и технологических компаний, в платформы для распространения вредоносного ПО.

Более 700 веб-сайтов, работающих на платформе Ghost, подверглись взлому из-за известной уязвимости, связанной с SQL-инъекцией, зарегистрированной под номером CVE-2026-26980. Злоумышленники использовали эту уязвимость для кражи административных ключей API и незаметного внедрения вредоносного кода JavaScript в записи и страницы на всех затронутых сайтах.

Исследователи обнаружили, что внедренный скрипт загружает вторую фазу потока ClickFix, в результате чего посетителям отображается поддельное диалоговое окно проверки Cloudflare или CAPTCHA.

Пример поддельной верификации Cloudflare
Пример поддельной верификации Cloudflare

Вместо обычного флажка на странице пользователям предлагается скопировать и вставить команду в диалоговое окно Windows или в PowerShell, что фактически заставляет их самостоятельно установить вредоносное ПО на свои компьютеры.

Информация для администраторов сайтов

В основе этой атаки лежит критическая уязвимость, связанная с SQL-инъекцией, в Content API Ghost. Исследователи отметили:

«Без какой-либо аутентификации злоумышленник может напрямую прочитать содержимое базы данных через эту уязвимость, включая ключ Admin API, используемый для вызова API Ghost Admin».

Эта уязвимость затрагивает версии Ghost от 3.24.0 до 6.19.0 и может быть использована злоумышленниками без входа в систему.

Выпущена исправленная версия , которую следует установить как можно скорее. И не только из-за кампании ClickFix: как только злоумышленники похищают ключ Admin API, они могут редактировать, удалять или создавать записи, вставлять скрипты, взламывать темы и иными способами вмешиваться в контент, доступный пользователям.

Как оставаться в безопасности

Эта кампания, вероятно, окажется особенно эффективной, поскольку инструкции представлены в виде безобидных технических действий, таких как «подтвердите, что вы человек», «исправьте соединение» или «перейдите на сайт». Что еще хуже, этот контент появляется на сайтах, которым пользователи уже доверяют.

В связи с широким распространением ClickFix — и, судя по всему, в ближайшее время ситуация не изменится — важно быть внимательным, осторожным и защищенным.

  • Не торопитесь. Невыполняйте инструкции на веб-странице, не обдумав их, особенно если на странице предлагается запустить команды на вашем устройстве или скопировать и вставить код. Злоумышленники используют эффект срочности, чтобы обойти критическое мышление, и многие страницы ClickFix используют обратный отсчет, поддельные счетчики посетителей или другие приемы давления, чтобы заставить вас действовать поспешно.
  • Не запускайте команды или скрипты из ненадежных источников. Никогда незапускайте код или команды, скопированные с веб-сайтов, из электронных писем или сообщений, если вы не уверены в надежности источника и не понимаете, к чему приведет это действие. Если на веб-сайте предлагается выполнить команду или какое-либо техническое действие, прежде чем приступать к этому, проверьте официальную документацию или обратитесь в службу поддержки.
  • Будьте осторожны при вставке команд из буфера обмена. Злоумышленники часто маскируют вредоносные коды в тексте буфера обмена. Ввод команд вручную вместо их вставки из буфера обмена может снизить риск непреднамеренного запуска скрытых вредоносных кодов.
  • Защитите свои устройства. Используйтеактуальноеантивирусное решение, работающее в режиме реального времени, с компонентом веб-защиты.
  • Будьте в курсе последних тенденций в области методов атак.Киберпреступники постоянно совершенствуют свои методы, а осведомленность остается одним из ваших лучших средств защиты, поэтому продолжайте читать наш блог!

Совет от профессионала:знаете ли вы, что бесплатная Malwarebytes Browser Guard предупреждает вас, когда какой-либо сайт пытается скопировать что-то в ваш буфер обмена?

Пресекайте угрозы, пока они не нанесли ущерб.

Malwarebytes Browser Guard автоматическиBrowser Guard фишинговые страницы и вредоносные сайты. Бесплатно, устанавливается одним щелчком мыши. Добавьте его в свой браузер →

Об авторе

Питер Арнтц

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.

ПОСЛЕДНИЕ СТАТЬИ

Новости
неделя безопасности

Неделя в сфере безопасности (с 18 по 24 мая)

Май 25, 2026

Список тем, которые мы рассмотрели в период с 18 по 24 мая 2026 года

Жучки
Chrome логотип

Обновите Chrome : критические уязвимости могут позволить злоумышленникам запустить код

Май 22, 2026

Chrome этом Chrome устранены критические уязвимости, которые злоумышленники могли использовать через вредоносные веб-сайты, однако уязвимость «Browser Fetch» не исправлена.

Жучки
Логотип Defender

Уязвимости Microsoft Defender активно эксплуатируются в реальных условиях

Май 21, 2026

CISA добавила в свой каталог KEV семь известных уязвимостей, которые уже использовались злоумышленниками, в том числе две уязвимости в Microsoft Defender.

Сопутствующие статьи

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы