Harvard, Oxford e mais de 700 sites legítimos foram sequestrados para distribuir malware — e o problema é o Ghost CMS
Você confia no site da Harvard. No da Oxford. Em portais de segurança, fintechs e blogs de IA respeitados. O seu filtro de reputação também confia. E é exatamente por isso que atacantes comprometeram mais de 700 domínios legítimos — incluindo universidades de ponta — para transformá-los em armadilhas de malware. A técnica se chama ClickFix, e a porta de entrada foi uma vulnerabilidade crítica no Ghost CMS que muitos simplesmente ignoraram.
Em 7 de maio de 2026, o XLab (laboratório da Qihoo 360) detectou que sites alimentados pelo Ghost CMS estavam sendo envenenados em massa. A investigação revelou um cenário pior do que parecia: pelo menos dois grupos de atacantes competindo pelo controle dos mesmos sites, injetando código malicioso em artigos legítimos. O resultado? Qualquer pessoa que acessasse uma página aparentemente normal era confrontada com um falso captcha do Cloudflare que, se seguido, instalava um stealer no computador.
O que é o CVE-2026-26980 e por que ele importou tanto
O CVE-2026-26980 é uma vulnerabilidade de injeção SQL cega (blind SQLi) no Content API do Ghost CMS, afetando as versões 3.24.0 a 6.19.0. Com um CVSS 9.4 — ou seja, crítica —, ela permite que atacantes não autenticados leiam dados arbitrários do banco de dados sem precisar de credenciais.
A vulnerabilidade foi discorerta e corrigida em fevereiro de 2026, com o patch na versão 6.19.1. Mas, como sempre acontece, grande parte dos administradores simplesmente não atualizou. O Ghost CMS é popular entre blogs pessoais, portais de startups e até universidades — justamente por ser leve e simples. Essa simplicidade tem um custo: muitos desses sites não têm equipes de segurança dedicadas.
O que os atacantes fizeram foi elegante em sua crueldade: usaram a SQLi para extrair a Admin API Key do Ghost, e então usaram essa chave para modificar artigos em massa via API administrativa. O código malicioso era injetado silenciosamente no final das páginas existentes. Nada de novo CMS, nada de novo domínio — apenas conteúdo legítimo com um payload escondido.
Como funciona o ClickFix — a engenharia social que transforma o usuário em cúmplice
O ClickFix não é um malware propriamente dito. É uma técnica de engenharia social que induz a vítima a executar comandos maliciosos no próprio computador. O fluxo é assim:
- A vítima acessa um site legítimo (por exemplo, um artigo na Harvard International Review).
- O script injetado carrega conteúdo de um servidor de comando e controle (C2). No caso desta campanha, o domínio era
staticcloudflare.pro. - Uma janela falsa aparece, imitando um desafio de verificação humana do Cloudflare — aquele “Verifique se você é humano”.
- A mensagem instrui o usuário a abrir o terminal (ou o PowerShell, no Windows) e colar um comando “de verificação”.
- O comando, na verdade, baixa e executa um stealer — um malware que rouba credenciais, cookies, carteiras de criptomoedas.
A Palo Alto Unit 42 documentou que campanhas ClickFix já distribuíram NetSupport RAT, Latrodectus e Lumma Stealer. O truque é brutalmente eficaz porque não explora nenhuma vulnerabilidade técnica no navegador ou no sistema operacional — explora a confiança humana. E quando o site que está exibindo o “captcha falso” é harvard.edu, essa confiança é quase absoluta.
A escala do ataque: 700 domínios, duas gangues competindo
O relatório do XLab publicado em 21 de maio de 2026 traz números impressionantes. Através de varredura ativa de características de envenenamento, eles identificaram mais de 700 domínios comprometidos. A distribuição por setor:
| Categoria | Quantidade | Percentual |
|---|---|---|
| Blogs pessoais | 368 | 48,1% |
| Software / SaaS / Tech | 113 | 14,8% |
| IA / Machine Learning | 35 | 4,6% |
| Web3 / Criptomoedas | 22 | 2,9% |
| Educação / Academia | 21 | 2,7% |
| Mídia / Notícias | 19 | 2,5% |
| Segurança / Cibersegurança | 11 | 1,4% |
Sim, sites de cibersegurança também foram comprometidos. A ironia não passa despercebida.
Mais alarmante: o XLab identificou pelo menos dois grupos de atacantes operando simultaneamente. Em alguns casos, os mesmos sites recebiam injeções de códigos diferentes de grupos distintos no mesmo dia — uma competição literal pelo território comprometido. O primeiro grupo usava o domínio de cloaking clo4shara[.]xyz (que a Cloudflare conseguiu bloquear), mas em 16 de maio já operavam com um novo domínio (com-apps[.]cc) e um payload atualizado: um stealer com zero detecções no VirusTotal.
Por que a reputação de domínio não serve mais como defesa
Este ataque expõe uma falha estrutural em como muitas organizações protegem seus usuários. A maioria dos filtros web corporativos — Cisco Umbrella, Zscaler, Proofpoint — opera com base em reputação de domínio. Sites como harvard.edu, ox.ac.uk e domínios .edu em geral têm pontuação de reputação máxima. Eles nunca são bloqueados.
O atacante sabe disso. Ao comprometer um site .edu e usá-lo como vetor de entrega, ele está essencialmente “lavando” o malware através da credibilidade institucional. Como o AI Weekly observou, bloquear URLs afiliadas à Harvard cria atrito operacional real para organizações de pesquisa e ensino. É uma situação em que a própria confiança se torna vulnerabilidade.
A lição é clara: reputação de domínio é um sinal fraco. Organizações precisam de análise comportamental e inspeção de conteúdo no nível da URL e do payload. Se o seu filtro de segurança ainda confia cegamente num domínio porque ele tem “boa reputação”, este caso é o seu alerta.
Como se proteger: medidas práticas para usuários e empresas
O HHS (Departamento de Saúde dos EUA) publicou um alerta setorial detalhado sobre ataques ClickFix. Com base nas fontes consultadas, as recomendações práticas são:
Para administradores de sites (especialmente Ghost CMS)
- Atualize imediatamente para Ghost CMS 6.19.1 ou superior. O patch existe desde fevereiro — não há desculpa.
- Revogue e regenere todas as Admin API Keys. Se a chave antiga foi comprometida, atualizar o CMS não basta.
- Monitore injeções de script nas páginas do seu site. Ferramentas como Sucuri ou monitoramento de integridade de arquivos podem ajudar.
- Verifique se páginas existentes contêm scripts desconhecidos, especialmente no final do HTML.
Para usuários e equipes de segurança
- Nunca execute comandos no terminal por instrução de um site. Nenhum captcha legítimo pede isso. Ponto final.
- Implemente bloqueio de execução de scripts via terminal para usuários não-admin. AMM (Application Management) ou GPOs podem fazer isso.
- Use filtros de conteúdo, não apenas de reputação. Soluções como Menlo Security e Perception Point analisam o que a página realmente faz, não apenas quem é o domínio.
- Eduque as equipes. O ClickFix funciona porque parece legítimo. Treinamento de conscientização precisa incluir este vetor específico.
Perguntas frequentes
O que é ClickFix?
ClickFix é uma técnica de engenharia social em que atacantes exibem mensagens falsas (como captchas do Cloudflare ou mensagens de erro do navegador) em sites comprometidos ou páginas de phishing. O objetivo é convencer a vítima a copiar e colar um comando malicioso no terminal do próprio computador, efetivamente infectando a máquina com as próprias mãos. A McAfee Labs descreveu a técnica como um método “altamente incomum” de entrega de malware.
O Ghost CMS é seguro?
O Ghost CMS em si é uma plataforma legítima e bem mantida. A vulnerabilidade CVE-2026-26980 foi corrigida na versão 6.19.1, lançada em fevereiro de 2026. O problema é que muitos administradores não aplicaram o patch. Se você usa Ghost CMS e está na versão 6.19.1 ou superior, está protegido contra esta vulnerabilidade específica. Mas a lição vale: mantenha qualquer CMS atualizado.
Como saber se um site foi comprometido?
Sinais de que um site pode estar servindo ClickFix: aberturas repentinas de janelas pedindo verificação humana, solicitações para abrir o terminal ou PowerShell, e mensagens que pedem para “colar um comando de verificação”. No lado do administrador, a presença de scripts JavaScript não autorizados no final do HTML das páginas é um indicador claro de comprometimento.
Meu antivírus detecta ClickFix?
Não necessariamente. O ClickFix não é um arquivo malicioso que o antivírus escaneia — é uma técnica que convence o usuário a executar um comando. O payload final (como o stealer com zero detecções no VirusTotal mencionado no relatório do XLab) pode não ser detectado por soluções tradicionais. A proteção eficaz combina conscientização do usuário, restrição de execução de scripts e análise comportamental.
Referências
- Ghost CMS Mass Compromised via CVE-2026-26980 — XLab/Qihoo 360
- CVE-2026-26980 — NVD (National Vulnerability Database)
- Think before you Click(Fix) — Microsoft Security Blog
- Fix the Click: Preventing the ClickFix Attack Vector — Palo Alto Unit 42
- ClickFix Attacks Sector Alert — HHS.gov
- Harvard among 140 sites hijacked for ClickFix malware — AI Weekly
- Ghost CMS Content API Blind SQL Injection — SonicWall
- ClickFix Deception — McAfee Labs
- Harvard and 140 other legitimate websites compromised — Reddit r/cybersecurity