-
09/04/2020
-
141
-
1.928 bài viết
Hơn 700 website bị cài mã độc qua lỗ hổng Ghost CMS, phát tán bẫy ClickFix
Một chiến dịch tấn công mạng quy mô lớn vừa bị phát hiện khi tin tặc lợi dụng lỗ hổng nghiêm trọng trong nền tảng quản trị nội dung Ghost CMS để chèn mã JavaScript độc hại vào hàng trăm website hợp pháp. Mục tiêu cuối cùng của chiến dịch là triển khai các cuộc tấn công ClickFix.
Theo các nhà nghiên cứu từ QiAnXin XLab, chiến dịch đã xâm nhập hơn 700 website thuộc nhiều lĩnh vực khác nhau, từ giáo dục, trí tuệ nhân tạo, blockchain, công nghệ SaaS cho tới truyền thông và tài chính. Điều đáng lo ngại là các trang web bị lợi dụng đều là những website hợp pháp, khiến người dùng khó nhận biết dấu hiệu bất thường và dễ trở thành nạn nhân hơn.
Lỗ hổng Ghost CMS bị khai thác là gì?
Nguồn gốc của chiến dịch bắt nguồn từ lỗ hổng CVE-2026-26980, một lỗi SQL Injection nghiêm trọng trong Content API của Ghost CMS với điểm CVSS lên tới 9,4/10.
Lỗ hổng này cho phép kẻ tấn công không cần xác thực có thể truy cập trái phép vào dữ liệu trong cơ sở dữ liệu của website. Nguy hiểm hơn, tin tặc có thể đánh cắp Admin API Key - khóa quản trị đặc quyền của hệ thống Ghost CMS.
Sau khi sở hữu khóa này, kẻ tấn công có toàn quyền sử dụng Ghost Admin API để chỉnh sửa nội dung website, thêm hoặc thay đổi bài viết và chèn mã độc vào các trang mà không cần truy cập trực tiếp vào máy chủ.
Lỗ hổng đã được Ghost vá từ tháng 02/2026 trong phiên bản 6.19.1. Đáng chú ý, lỗi bảo mật này được phát hiện bởi hệ thống AI Claude của Anthropic trong quá trình phân tích mã nguồn.
Lỗ hổng này cho phép kẻ tấn công không cần xác thực có thể truy cập trái phép vào dữ liệu trong cơ sở dữ liệu của website. Nguy hiểm hơn, tin tặc có thể đánh cắp Admin API Key - khóa quản trị đặc quyền của hệ thống Ghost CMS.
Sau khi sở hữu khóa này, kẻ tấn công có toàn quyền sử dụng Ghost Admin API để chỉnh sửa nội dung website, thêm hoặc thay đổi bài viết và chèn mã độc vào các trang mà không cần truy cập trực tiếp vào máy chủ.
Lỗ hổng đã được Ghost vá từ tháng 02/2026 trong phiên bản 6.19.1. Đáng chú ý, lỗi bảo mật này được phát hiện bởi hệ thống AI Claude của Anthropic trong quá trình phân tích mã nguồn.
Tin tặc đã khai thác lỗ hổng như thế nào?
Theo phân tích của XLab, tin tặc trước tiên khai thác CVE-2026-26980 để lấy được khóa Admin API của website mục tiêu. Sau đó, chúng sử dụng quyền quản trị để chỉnh sửa hàng loạt bài viết trên website, bí mật chèn một đoạn JavaScript độc hại ở cuối trang.
Đoạn mã này hoạt động như một bộ nạp (loader) hai giai đoạn. Khi người dùng truy cập website, đoạn mã sẽ liên hệ với máy chủ điều khiển từ xa để tải xuống các thành phần độc hại tiếp theo.
Kiến trúc này giúp kẻ tấn công dễ dàng thay đổi tải trọng (payload) theo từng đối tượng hoặc khu vực mà không cần sửa lại mã trên toàn bộ các website đã bị xâm nhập.
Các chuyên gia cho biết đây là một chiến dịch "đầu độc website" (website poisoning) quy mô lớn, với ít nhất hai nhóm tin tặc khác nhau tham gia. Một số website bị cài mã độc chỉ trong vòng vài giờ sau khi lỗ hổng được khai thác.
Đoạn mã này hoạt động như một bộ nạp (loader) hai giai đoạn. Khi người dùng truy cập website, đoạn mã sẽ liên hệ với máy chủ điều khiển từ xa để tải xuống các thành phần độc hại tiếp theo.
Kiến trúc này giúp kẻ tấn công dễ dàng thay đổi tải trọng (payload) theo từng đối tượng hoặc khu vực mà không cần sửa lại mã trên toàn bộ các website đã bị xâm nhập.
Các chuyên gia cho biết đây là một chiến dịch "đầu độc website" (website poisoning) quy mô lớn, với ít nhất hai nhóm tin tặc khác nhau tham gia. Một số website bị cài mã độc chỉ trong vòng vài giờ sau khi lỗ hổng được khai thác.
Công nghệ "ngụy trang" giúp vượt qua hệ thống bảo mật
Máy chủ điều khiển của chiến dịch sử dụng một tập lệnh phân phối lưu lượng truy cập được xây dựng trên nền tảng Adspect – một dịch vụ cloaking thương mại thường được dùng để che giấu nội dung thực khỏi công cụ quét bảo mật.
Hệ thống này thu thập thông tin nhận dạng trình duyệt, địa chỉ IP, vị trí địa lý và nhiều dữ liệu khác của người truy cập trước khi quyết định nội dung nào sẽ được hiển thị.
Nếu phát hiện người truy cập là chuyên gia bảo mật, công cụ quét hoặc bot phân tích, hệ thống sẽ hiển thị nội dung vô hại để tránh bị phát hiện. Ngược lại, nếu xác định là người dùng thực, máy chủ sẽ chuyển sang giai đoạn tấn công tiếp theo.
Hệ thống này thu thập thông tin nhận dạng trình duyệt, địa chỉ IP, vị trí địa lý và nhiều dữ liệu khác của người truy cập trước khi quyết định nội dung nào sẽ được hiển thị.
Nếu phát hiện người truy cập là chuyên gia bảo mật, công cụ quét hoặc bot phân tích, hệ thống sẽ hiển thị nội dung vô hại để tránh bị phát hiện. Ngược lại, nếu xác định là người dùng thực, máy chủ sẽ chuyển sang giai đoạn tấn công tiếp theo.
Bẫy ClickFix hoạt động ra sao?
Nạn nhân được hiển thị một trang CAPTCHA giả mạo với nội dung yêu cầu xác minh rằng họ là con người. Tuy nhiên thay vì chỉ cần đánh dấu vào ô xác nhận như CAPTCHA thông thường, trang web sẽ hướng dẫn người dùng sao chép một chuỗi lệnh đã được mã hóa Base64 rồi dán vào hộp thoại Run của Windows.
Đây chính là kỹ thuật ClickFix đang được nhiều nhóm tin tặc sử dụng trong thời gian gần đây. Khi người dùng thực hiện thao tác này, một chuỗi lệnh sẽ được kích hoạt để:
Đây chính là kỹ thuật ClickFix đang được nhiều nhóm tin tặc sử dụng trong thời gian gần đây. Khi người dùng thực hiện thao tác này, một chuỗi lệnh sẽ được kích hoạt để:
- Tải xuống một tệp ZIP từ máy chủ của kẻ tấn công
- Giải nén tập tin độc hại
- Thực thi script Batch và PowerShell
- Tải thêm mã độc từ Internet
- Chạy tệp DLL hoặc JavaScript độc hại trên máy nạn nhân
- Cài đặt phần mềm điều khiển từ xa và thiết lập cơ chế tồn tại lâu dài
Trong một số trường hợp, mã độc được ngụy trang thành phần mềm hợp pháp có chữ ký số hợp lệ nhằm qua mặt các giải pháp bảo mật.
Mục tiêu cuối cùng là chiếm quyền điều khiển thiết bị
Các nhà nghiên cứu phát hiện một số biến thể của chiến dịch cài đặt phiên bản đã bị chỉnh sửa của ứng dụng mã nguồn mở Grape Desktop Client. Sau khi được cài đặt, phần mềm này sẽ tự động duy trì kết nối với máy chủ điều khiển từ xa, gửi yêu cầu mỗi 30 giây để nhận lệnh mới.
Kẻ tấn công có thể sử dụng công cụ này để:
Kẻ tấn công có thể sử dụng công cụ này để:
- Thực thi mã JavaScript từ xa
- Chạy chương trình tùy ý trên máy nạn nhân
- Tải xuống và cài đặt thêm mã độc
- Thu thập dữ liệu người dùng
- Mở rộng quyền kiểm soát hệ thống
Điều này biến máy tính bị nhiễm thành một thiết bị nằm dưới quyền điều khiển của tin tặc.
Phạm vi ảnh hưởng đáng lo ngại
Theo XLab, hơn 700 website đã bị xâm nhập trong chiến dịch này. Danh sách nạn nhân bao gồm:
- Trường đại học và tổ chức giáo dục
- Công ty blockchain
- Doanh nghiệp AI
- Nhà cung cấp dịch vụ SaaS
- Tổ chức nghiên cứu bảo mật
- Cơ quan truyền thông
- Công ty công nghệ tài chính (Fintech)
Việc các website uy tín bị lợi dụng khiến chiến dịch có tỷ lệ thành công cao hơn nhiều so với các hình thức lừa đảo thông thường, bởi người dùng thường có xu hướng tin tưởng các trang web quen thuộc.
Người dùng và quản trị viên cần làm gì?
Đối với quản trị viên website sử dụng Ghost CMS, các chuyên gia khuyến nghị cần:
- Nâng cấp ngay Ghost CMS lên phiên bản mới nhất
- Thay đổi toàn bộ API Key và thông tin xác thực quản trị
- Kiểm tra mã nguồn website để phát hiện JavaScript lạ được chèn vào trang
- Rà soát nhật ký truy cập nhằm tìm dấu hiệu khai thác bất thường
- Thông báo cho người dùng nếu website từng bị ảnh hưởng trong thời gian xảy ra sự cố
Đối với người dùng Internet:
- Không thực hiện các yêu cầu sao chép và dán lệnh vào cửa sổ Run hoặc PowerShell từ website
- Cảnh giác với các CAPTCHA yêu cầu thao tác bất thường
- Cập nhật phần mềm bảo mật thường xuyên
- Kiểm tra thiết bị nếu từng truy cập website nghi ngờ bị nhiễm mã độc
Chiến dịch khai thác lỗ hổng CVE-2026-26980 cho thấy các website hợp pháp ngày càng trở thành mục tiêu hấp dẫn của tội phạm mạng. Thay vì phát tán mã độc trực tiếp, tin tặc lợi dụng uy tín của các trang web nổi tiếng để đưa người dùng vào những kịch bản lừa đảo tinh vi như ClickFix.
Việc vá lỗi bảo mật kịp thời không chỉ giúp bảo vệ hạ tầng website mà còn ngăn chặn nguy cơ biến các trang web hợp pháp thành công cụ phát tán mã độc. Trong bối cảnh các kỹ thuật tấn công ngày càng tinh vi, cả quản trị viên lẫn người dùng cuối đều cần nâng cao cảnh giác trước những yêu cầu thao tác bất thường xuất hiện trên các trang web tưởng chừng đáng tin cậy.
CVE-2026-26980 cho thấy các website hợp pháp ngày càng trở thành mục tiêu hấp dẫn của tội phạm mạng. Thay vì phát tán mã độc trực tiếp, tin tặc lợi dụng uy tín của các trang web nổi tiếng để đưa người dùng vào những kịch bản lừa đảo tinh vi như ClickFix. Sự việc cũng là lời nhắc nhở rằng việc vá lỗi bảo mật kịp thời không chỉ giúp bảo vệ hạ tầng website mà còn ngăn chặn nguy cơ biến các trang web hợp pháp thành công cụ phát tán mã độc. Trong bối cảnh các kỹ thuật tấn công ngày càng tinh vi, cả quản trị viên lẫn người dùng cuối đều cần nâng cao cảnh giác trước những yêu cầu thao tác bất thường xuất hiện trên các trang web tưởng chừng đáng tin cậy.
Việc vá lỗi bảo mật kịp thời không chỉ giúp bảo vệ hạ tầng website mà còn ngăn chặn nguy cơ biến các trang web hợp pháp thành công cụ phát tán mã độc. Trong bối cảnh các kỹ thuật tấn công ngày càng tinh vi, cả quản trị viên lẫn người dùng cuối đều cần nâng cao cảnh giác trước những yêu cầu thao tác bất thường xuất hiện trên các trang web tưởng chừng đáng tin cậy.
CVE-2026-26980 cho thấy các website hợp pháp ngày càng trở thành mục tiêu hấp dẫn của tội phạm mạng. Thay vì phát tán mã độc trực tiếp, tin tặc lợi dụng uy tín của các trang web nổi tiếng để đưa người dùng vào những kịch bản lừa đảo tinh vi như ClickFix. Sự việc cũng là lời nhắc nhở rằng việc vá lỗi bảo mật kịp thời không chỉ giúp bảo vệ hạ tầng website mà còn ngăn chặn nguy cơ biến các trang web hợp pháp thành công cụ phát tán mã độc. Trong bối cảnh các kỹ thuật tấn công ngày càng tinh vi, cả quản trị viên lẫn người dùng cuối đều cần nâng cao cảnh giác trước những yêu cầu thao tác bất thường xuất hiện trên các trang web tưởng chừng đáng tin cậy.