Wenn KI-Schwachstellen in falsche Hände geraten
Es ist eine Ironie der aktuellen Cybersecurity-Landschaft: Eine kritische Sicherheitslücke, die von Anthropic mithilfe der KI „Claude“ entdeckt und verantwortlich offenlegt wurde, wird nun massenhaft von Kriminellen missbraucht. Die Rede ist von CVE-2026-26980, einer SQL-Injection-Schwachstelle im Content API von Ghost CMS. Wie das chinesische Sicherheitsunternehmen QiAnXin XLab berichtet, haben Bedrohungsakteure diese Schwachstelle in großem Stil ausgenutzt, um mehr als 700 Websites zu kompromittieren.
Das Besondere daran: Die Angreifer nutzten die Lücke nicht nur, um Daten zu stehlen, sondern um die Admin-API-Schlüssel der Seiten zu erbeuten. Mit diesen Schlüsseln konnten sie legitimiert Artikel manipulieren und bösartigen JavaScript-Code in die betroffenen Seiten einschleusen. Die Folge ist eine groß angelegte „Poisoning“-Kampagne, die auf eine der hinterhältigsten Social-Engineering-Taktiken der jüngeren Zeit setzt: ClickFix.
Die Anatomie der Schwachstelle
Die im Februar 2026 mit Version 6.19.1 gepatchte Lücke (CVSS-Score: 9.4) ermöglichte es unauthentifizierten Angreifern, beliebige Datenbankabfragen durchzuführen. Der kritische Wendepunkt: Durch die SQL-Injection ließ sich der Admin-API-Key auslesen. Wer diesen Schlüssel besitzt, kann das Ghost-Admin-API aufrufen und veröffentlichte Artikel im Bulk-Verfahren modifizieren.
Genau das geschah ab dem 7. Mai 2026. Mindestens zwei verschiedene Bedrohungscluster waren offenbar so schnell, dass einige Websites innerhalb eines einzigen Tages nach dem Bekanntwerden der Lücke bereits verseucht waren. Betroffen sind nicht irgendwelche obskuren Blogs, sondern renommierte Seiten aus den Sektoren Universitäten, Blockchain, Künstliche Intelligenz, SaaS, Sicherheitsforschung, Medien und FinTech.
Die Mechanik des ClickFix-Angriffs
Die Komplexität dieser Kampagne offenbart sich im Payload. Die Angreifer injizierten am Ende der Artikel einen zweiteiligen JavaScript-Loader. Dieser lädt zur Laufzeit die eigentliche Schadsoftware von einer externen Domain (clo4shara[.]xyz/11z77u3.php). Dieser Ansatz bietet den Kriminellen maximale Flexibilität: Der Loader bleibt auf den kompromittierten Seiten identisch, während das eigentliche Payload je nach Zielgruppe oder Erfolgsquote einfach ausgetauscht werden kann.
Das PHP-Skript auf dem Server entpuppt sich als sogenanntes Traffic-Distribution-Skript, das von Adspect angetrieben wird – einem kommerziellen Cloaking-Dienst. Cloaking stellt sicher, dass nur echte Opfer den Schadcode zu Gesicht bekommen, während Sicherheits-Scanner und Crawler eine harmlose Seite vorgewiesen bekommen. Das Skript sammelt Browser-Fingerprints und unterstützt 19 verschiedene Befehle, um das Opfer-Browser fernzusteuern.
Die Opfer werden schließlich mit einem Fake-CAPTCHA konfrontiert, der in einem iframe eingebettet ist. Hier kommt die psychologische Täuschung namens ClickFix ins Spiel: Nutzer werden aufgefordert, einen Base64-kodierten Befehl zu kopieren und in das Windows-Ausführen-Fenster (Win+R) einzufügen, um angeblich ihre Menschlichkeit zu beweisen. Ein fataler Fehler, der die Ausführung eines Droppers auslöst.
Vom Dropper zur persistenter Spionage
Der kopierte Befehl lädt ein ZIP-Archiv, extrahiert ein Batch-Skript und lädt über PowerShell eine DLL-Datei von einem Remote-Server. In späteren Iterationen wurde die DLL durch ein JavaScript-Payload ersetzt. Das Endziel bleibt jedoch stets die Ausführung einer Windows-Executable.
In einem Fall wurde ein manipulierter PuTTY-Client mit einem gültigen Code-Signing-Zertifikat gestartet. In einem anderen Fall ein Inno-Setup-Installer für eine Electron-Anwendung. Letztere stellt sich als modifizierte Version des Open-Source-Clients „Grape“ heraus. Diese App establishiert Persistenz und pollt alle 30 Sekunden einen Remote-Server (web-telegram[.]ug), um Befehle der Angreifer – etwa das Ausführen von JavaScript oder weiteren Exekutierbaren – entgegenzunehmen.
Einordnung: Das Vertrauen als Schwachstelle
Was diesen Angriff besonders tückisch macht, ist die Ausnutzung von Vertrauen. Wenn Nutzer eine Seite einer Universität oder eines bekannten SaaS-Unternehmens besuchen, rechnen sie nicht mit Schadcode. Die Erfolgsquote von ClickFix auf solchen Plattformen ist daher signifikant höher als in dubiosen E-Mails.
Die Kampagne zeigt zudem einen beunruhigenden Trend: Der Zeitraum zwischen dem Patchen einer Lücke und ihrer massenhaften Ausnutzung schrumpft drastisch. Dass die Lücke von einer KI gefunden wurde, zeigt die Ambivalenz moderner Technologien – KI kann Systeme sicherer machen, aber die Verteidigung hinkt der Offensive weiterhin hinterher.
Handlungsbedarf für Administratoren: Wer Ghost CMS einsetzt, muss umgehend auf Version 6.19.1 oder höher aktualisieren. Da die Admin-API-Schlüssel kompromittiert sein könnten, ist eine Rotation aller Credentials zwingend erforderlich. Zudem sollten die Websites auf injizierten JavaScript-Code überprüft und Zugriffslogs auf anomale API-Aufrufe analysiert werden. Nutzer, die während der Verseuchung auf den Seiten waren, sollten ihre Systeme auf Malware prüfen.
Quelle: The Hacker News
