Penyerang membajak 700 situs Ghost CMS untuk serangan ClickFix

Lebih dari 700 situs web terinfeksi dalam serangan peretasan skala besar yang mengeksploitasi kerentanan kritis Ghost CMS (CVE-2026-26980), sehingga terekspos pada serangan 'ClickFix' yang memancing verifikasi keamanan palsu.

Terjemahan lengkap

Para penyerang menyuntikkan kode JavaScript berbahaya dengan mengeksploitasi celah keamanan kritis Ghost CMS yang baru-baru ini diungkap, dengan tujuan melancarkan serangan ClickFix yang memancing verifikasi keamanan palsu.

Menurut QiAnXin XLab, serangan ini memanfaatkan CVE-2026-26980 (skor CVSS: 9.4), yaitu kerentanan SQL injection yang ditemukan pada Content API milik Ghost. Kerentanan ini memungkinkan penyerang yang tidak terautentikasi membaca data arbitrer dari database. Celah keamanan tersebut ditambal pada versi 6.19.1 yang dirilis pada Februari 2026, dan kerentanan itu sendiri ditemukan oleh Anthropic dengan memanfaatkan AI mereka, Claude.

Kerentanan ini sangat berbahaya karena memungkinkan penyerang mencuri kunci Admin API situs web tanpa memerlukan hak akses. Setelah memperoleh kunci Admin API, penyerang mendapatkan wewenang untuk langsung mengubah artikel yang dipublikasikan di Ghost CMS, sehingga memungkinkan aksi yang disebut 'kontaminasi konten', yakni penyuntikan kode berbahaya ke situs tanpa izin.

XLab menjelaskan, "Para penyerang memanfaatkan celah keamanan ini untuk memperoleh kunci Admin API situs target tanpa izin, lalu menggunakan Ghost Admin API untuk memodifikasi artikel secara massal," dan "mereka menyuntikkan malicious JavaScript loader di bagian bawah halaman untuk membantu serangan verifikasi CAPTCHA palsu."

Perusahaan keamanan asal Tiongkok, XLab, menyebut aktivitas ini sebagai kampanye 'kontaminasi skala besar' yang mempersenjatai celah Ghost CMS. Diperkirakan ada setidaknya dua kelompok ancaman berbeda di balik kampanye ini, dan pada beberapa situs, kode berbahaya ditanam hanya sehari setelah kerentanan terekspos. Serangan ini pertama kali terdeteksi pada 7 Mei 2026.

Hingga saat ini, lebih dari 700 situs web dari sektor universitas, blockchain, kecerdasan buatan (AI), software-as-a-service (SaaS), riset keamanan, media, dan teknologi finansial telah dikompromikan oleh kampanye ini {b:100}. XLab memperingatkan bahwa karena situs yang diretas merupakan situs sah dan tepercaya, kemungkinan pengguna tertipu menjadi lebih tinggi sehingga tingkat keberhasilan serangan ClickFix pun dapat meningkat.

Kode JavaScript yang disuntikkan di bagian bawah artikel berfungsi sebagai loader tahap kedua, yang saat dijalankan ketika pengguna membuka halaman akan mengambil payload utama dari domain eksternal ("clo4shara[.]xyz/11z77u3.php"). Struktur ini memberi penyerang fleksibilitas tinggi. Di banyak situs yang terinfeksi, mereka dapat mempertahankan fungsi loader seperti adanya sambil mengganti payload utama kapan saja sesuai kriteria yang mereka tentukan.

XLab menyatakan, "Jika alamat tersebut (clo4shara[.]xyz/11z77u3.php) diakses langsung, akan terlihat kode yang tersusun sebagai skrip distribusi trafik yang tipikal," serta "fungsi utama skrip ini adalah mengumpulkan berbagai fingerprint (informasi identitas) dari browser pengguna dan mengirimkannya ke server, lalu melakukan tindakan berbahaya seperti redirect, menampilkan pop-up, dan unduhan sesuai perintah dari server." Skrip PHP ini beroperasi berdasarkan Adspect, layanan cloaking (kontrol akses dan penyamaran) komersial.

Tujuan penggunaan skrip cloaking semacam ini adalah untuk hanya menampilkan halaman web normal kepada perangkat deteksi keamanan atau crawler, sementara payload berbahaya hanya dikirimkan kepada pengguna biasa yang menjadi target sebenarnya. Selain itu, skrip ini mendukung 19 perintah berbeda untuk mengeksekusi kode JavaScript arbitrer dan mengendalikan browser korban dari jarak jauh.

Bagi pengunjung yang dinilai sebagai target serangan, halaman verifikasi CAPTCHA palsu yang meminta mereka membuktikan bahwa mereka "bukan robot" akan muncul di layar melalui elemen HTML iframe. Di sinilah serangan ClickFix benar-benar dimulai: pengguna dipandu oleh instruksi di layar untuk menyalin perintah yang dikodekan dalam Base64 dan menempelkannya ke jendela Run di Windows.

Saat pengguna menjalankan perintah tersebut, sebuah dropper akan mengunduh file arsip ZIP, mengekstraknya, lalu menjalankan skrip batch Windows di dalamnya. Skrip batch ini kemudian mengeksekusi perintah PowerShell untuk mengunduh file DLL dari domain jarak jauh, lalu menjalankannya melalui rundll32.exe. Pada saat yang sama, halaman web palsu untuk pengalihan perhatian ditampilkan agar tidak menimbulkan kecurigaan pengguna.

Pada varian malware yang ditemukan kemudian, payload JavaScript digunakan sebagai pengganti file DLL. Namun apa pun bentuk payload-nya, tujuan akhir serangan ini adalah memasang file executable Windows (EXE) di PC pengguna. Pada versi DLL, program yang dipasang sebagai executable adalah klien PuTTY yang menyertakan sertifikat penandatanganan kode yang valid, sedangkan biner yang disebarkan melalui JavaScript dikemas sebagai installer Inno Setup untuk aplikasi Electron.

Aplikasi yang dipasang dengan cara ini merupakan versi modifikasi dari klien desktop open-source Grape. Ia terus menetap di sistem dan setiap 30 detik mengirim sinyal ke server jarak jauh ("web-telegram[.]ug") untuk memeriksa perintah dari penyerang, lalu menjalankan kode JavaScript atau file executable sesuai instruksi.

Pengguna Ghost CMS disarankan untuk segera meningkatkan instance mereka ke versi terbaru dan mengatur ulang semua kredensial autentikasi (kata sandi dan API key) guna mencegah dampak lebih lanjut. Selain itu, mereka perlu membersihkan situs secara menyeluruh dan mengaudit access log dengan cermat untuk mencari jejak aktivitas mencurigakan. Juga direkomendasikan untuk memberi tahu pengguna yang mungkin telah mengunjungi situs selama periode kontaminasi tentang risiko peretasan ini dan mengimbau mereka agar waspada.