I ricercatori di XLab ha rilevato una campagna su larga scala che sfrutta la vulnerabilità CVE-2026-26980 di Ghost CMS per iniettare codice JavaScript nelle pagina web, successivamente sfruttato per attacchi ClickFix. Le ignare vittime che visitano i siti infetti sono invitati ad eseguire i comandi mostrati. Installeranno così vari malware sui loro computer.
Siti noti per ingannare gli utenti
La suddetta vulnerabilità CVE-2026-26980 è stata descritta a fine febbraio dai ricercatori di SentinelOne. Era presente nelle versioni da 3.24.0 a 6.19.0 di Ghost CMS. La patch è disponibile con la versione 6.19.1 del popolare CMS (Content Management System) scritto in JavaScript, ma molti siti non sono stati aggiornati.
I ricercatori hanno trovato gli exploit in oltre 700 siti, tra cui quelli di Harvard University, Oxford University, Auburn University e DuckDuckGo. La vulnerabilità “SQL injection” consente ad un malintenzionato di accedere al database senza autenticazione, iniettare codice JavaScript e modificare le pagine web, dopo aver rubato le chiavi API che permettono di ottenere privilegi di amministratore.
Il codice JavaScript è un piccolo loader che scarica un altro script dal server dei cybercriminali. Se gli utenti sono tra i target selezionati (viene rilevata la nazionalità dall’indirizzo IP) vedranno un CAPTCHA fasullo di Cloudflare. Per dimostrare di non essere un bot e quindi accedere al sito è necessario seguire le istruzioni mostrate in un pop-up.
Si tratta del famigerato attacco ClickFix. L’ignara vittima deve aprire la finestra Esegui di Windows con la combinazione di tasti Win + R e premere Ctrl + V e Invio. Verrà così eseguito il comando che scarica sul computer diversi malware. Non sono descritti in dettaglio, ma quasi certamente possono rubare i dati degli utenti.
Gli amministratori dei siti devono ovviamente installare l’ultima versione di Ghost CMS e cambiare tutte le chiavi API.
Ti potrebbe interessare
25 mag 2026