हमलावरों ने ClickFix हमलों के लिए 700 Ghost CMS साइटों से समझौता किया
(thehackernews.com)Ghost CMS की एक गंभीर भेद्यता (CVE-2026-26980) का दुरुपयोग करने वाले बड़े पैमाने के हैकिंग अभियान में 700 से अधिक वेबसाइटें संक्रमित हो गईं और उन्हें नकली सुरक्षा सत्यापन कराने वाले 'ClickFix' हमलों के लिए इस्तेमाल किया गया।
पूर्ण अनुवाद
हमलावर हाल ही में उजागर हुई Ghost CMS की एक गंभीर सुरक्षा खामी का दुरुपयोग करके नकली सुरक्षा सत्यापन कराने वाले ClickFix हमले चलाने के उद्देश्य से दुर्भावनापूर्ण JavaScript कोड इंजेक्ट कर रहे हैं।
QiAnXin XLab के अनुसार, यह हमला Ghost के Content API में पाई गई SQL injection भेद्यता CVE-2026-26980 (CVSS स्कोर: 9.4) का दुरुपयोग करता है। इस खामी का फायदा उठाकर एक बिना-प्रमाणीकरण वाला हमलावर डेटाबेस से मनचाहा डेटा पढ़ सकता है। इस सुरक्षा खामी को फरवरी 2026 में जारी किए गए version 6.19.1 में patch किया गया था, और यह भेद्यता Anthropic ने अपने AI Claude की मदद से खोजी थी।
यह भेद्यता खास तौर पर इसलिए खतरनाक है क्योंकि हमलावर बिना किसी विशेष अनुमति के वेबसाइट की Admin API key चुरा सकते हैं। Admin API key हाथ लगने के बाद हमलावर Ghost CMS पर प्रकाशित लेखों को सीधे संशोधित कर सकते हैं, जिससे साइट पर बिना अनुमति के दुर्भावनापूर्ण कोड इंजेक्ट करना, यानी तथाकथित 'content poisoning', संभव हो जाता है।
XLab ने कहा, "हमलावरों ने इस सुरक्षा खामी का इस्तेमाल लक्ष्य साइटों की Admin API key अवैध रूप से हासिल करने के लिए किया, और फिर Ghost Admin API का उपयोग करके बड़ी संख्या में लेखों के साथ छेड़छाड़ की," और "उन्होंने पेज के निचले हिस्से में एक दुर्भावनापूर्ण JavaScript loader इंजेक्ट किया, ताकि नकली CAPTCHA verification हमलों को सहारा दिया जा सके।"
चीन की सुरक्षा कंपनी XLab ने इस गतिविधि को Ghost CMS की खामी को weaponize करने वाला एक 'mass contamination' अभियान बताया है। माना जा रहा है कि इस अभियान के पीछे कम से कम 2 अलग-अलग threat groups हैं, और कुछ साइटों में भेद्यता उजागर होने के सिर्फ एक दिन के भीतर ही malware डाल दिया गया था। यह हमला पहली बार 7 मई 2026 को देखा गया।
अब तक इस अभियान के कारण विश्वविद्यालय, blockchain, AI, software-as-a-service (SaaS), security research, media और fintech क्षेत्रों की 700 से अधिक वेबसाइटें प्रभावित हुई हैं . XLab ने चेतावनी दी कि वैध और भरोसेमंद वेबसाइटों के hack हो जाने से उपयोगकर्ताओं के धोखा खाने की संभावना बढ़ जाती है, जिससे ClickFix हमलों की सफलता दर और बढ़ सकती है।
लेखों के निचले हिस्से में इंजेक्ट किया गया JavaScript कोड दूसरे चरण के loader की तरह काम करता है, और जब उपयोगकर्ता पेज खोलता है तब यह बाहरी domain ("clo4shara[.]xyz/11z77u3.php") से मुख्य payload लाता है। इस तरह की संरचना हमलावरों को काफी लचीलापन देती है। वे कई संक्रमित साइटों में loader को ज्यों का त्यों रखकर, अपने तय मानकों के अनुसार किसी भी समय केवल मुख्य payload को आसानी से बदल सकते हैं।
XLab ने कहा, "अगर उस पते (clo4shara[.]xyz/11z77u3.php) को सीधे एक्सेस किया जाए, तो वहां एक सामान्य traffic distribution script जैसा कोड दिखता है," और "इस script का मुख्य काम उपयोगकर्ता के browser से तरह-तरह की fingerprinting जानकारी इकट्ठा कर server को भेजना है, और फिर server से मिले निर्देशों के अनुसार redirection, popup दिखाना, download कराना जैसी दुर्भावनापूर्ण गतिविधियां करना है।" यह PHP script commercial cloaking service Adspect पर आधारित है।
ऐसी cloaking scripts का इस्तेमाल इसलिए किया जाता है ताकि security detection systems या crawlers को केवल सामान्य वेबपेज दिखें, जबकि असली लक्षित सामान्य उपयोगकर्ताओं तक ही दुर्भावनापूर्ण payload पहुंचाया जाए। इसके अलावा, यह script 19 अलग-अलग commands को support करती है, जिनकी मदद से मनचाहा JavaScript कोड चलाया जा सकता है और पीड़ित के browser को remotely control किया जा सकता है।
जिन आगंतुकों को हमले का लक्ष्य चुना जाता है, उन्हें iframe HTML element के जरिए एक नकली CAPTCHA verification पेज दिखाया जाता है, जिसमें उन्हें यह साबित करने के लिए कहा जाता है कि वे 'robot नहीं, इंसान' हैं। यहीं से ClickFix हमला वास्तव में शुरू होता है, क्योंकि स्क्रीन पर दिए गए निर्देशों के अनुसार उपयोगकर्ता को Base64-encoded command कॉपी करके Windows Run dialog में paste करने के लिए उकसाया जाता है।
जब उपयोगकर्ता इस command को चलाता है, तो एक dropper सक्रिय होता है जो एक ZIP archive डाउनलोड करता है, उसे extract करता है, और अंदर मौजूद Windows batch script को चलाता है। यह batch script फिर PowerShell command चलाती है, जो remote domain से एक DLL file डाउनलोड करती है और फिर उसे "rundll32.exe" के जरिए execute करती है। इसी दौरान, उपयोगकर्ता का ध्यान भटकाने और संदेह कम करने के लिए एक नकली webpage भी खोला जाता है।
बाद में पाए गए malware variants में DLL file की जगह JavaScript payload का भी इस्तेमाल किया गया। हालांकि payload का रूप चाहे जो भी हो, इस हमले का अंतिम उद्देश्य उपयोगकर्ता के PC पर एक Windows executable (EXE) install करना है। DLL version में एक वैध code-signing certificate वाला PuTTY client executable के रूप में install होता है, जबकि JavaScript के जरिए वितरित binary एक Electron application के लिए Inno Setup installer के रूप में आता है।
इस तरह install किया गया application open source Grape desktop client का संशोधित रूप है। यह सिस्टम में लगातार बना रहता है, हर 30 सेकंड में remote server ("web-telegram[.]ug") को beacon भेजकर हमलावर के commands की जांच करता है, और JavaScript code या executables चलाने का काम करता है।
Ghost CMS उपयोगकर्ताओं को नुकसान से बचने के लिए अपने instances को तुरंत latest version पर upgrade करना चाहिए और सभी credentials (passwords और API keys) reset कर देनी चाहिए। इसके साथ ही, साइट के अंदरूनी हिस्से को पूरी तरह साफ करना, access logs का बारीकी से audit करना, और किसी भी संदिग्ध गतिविधि के संकेत तलाशना जरूरी है। यह भी सिफारिश की गई है कि उन उपयोगकर्ताओं को जोखिम के बारे में सूचित किया जाए जो संभवतः उस अवधि में साइट पर आए हों जब वह संक्रमित थी।
अभी कोई टिप्पणी नहीं है.