{"id":204,"date":"2026-06-23T08:55:57","date_gmt":"2026-06-23T08:55:57","guid":{"rendered":"https:\/\/shattered.io\/pt\/2026\/06\/23\/ghost-cms-cve-2026-26980-clickfix-700-sites\/"},"modified":"2026-06-29T23:49:47","modified_gmt":"2026-06-29T23:49:47","slug":"ghost-cms-cve-2026-26980-clickfix-700-sites","status":"publish","type":"post","link":"https:\/\/shattered.io\/pt\/ghost-cms-cve-2026-26980-clickfix-700-sites\/","title":{"rendered":"Ghost CMS CVE-2026-26980: 700 Sites Invadidos por ClickFix [2026]"},"content":{"rendered":"\n

Uma falha cr\u00edtica de inje\u00e7\u00e3o SQL no Ghost CMS<\/strong>, catalogada como CVE-2026-26980<\/strong> com pontua\u00e7\u00e3o CVSS de 9,4, foi explorada em larga escala a partir de 7 de maio de 2026, comprometendo mais de 700 sites<\/strong> em todo o mundo. Universidades de topo como Harvard e Oxford, a empresa de privacidade DuckDuckGo e dezenas de empresas de tecnologia figuram entre as v\u00edtimas. Os atacantes usaram a vulnerabilidade para injetar c\u00f3digo JavaScript malicioso e lan\u00e7ar campanhas ClickFix que enganam utilizadores comuns para instalar malware nos seus computadores.<\/p>\n\n\n\n

O Que Aconteceu: 700 Sites Invadidos num Ataque Automatizado<\/h2>\n\n\n\n

No dia 7 de maio de 2026, investigadores da XLab da Qianxin<\/strong>, empresa chinesa de ciberseguran\u00e7a, detetaram uma campanha de envenenamento em massa a atingir instala\u00e7\u00f5es Ghost CMS de um cliente de import\u00e2ncia cr\u00edtica. A an\u00e1lise revelou que os atacantes tinham explorado ativamente a CVE-2026-26980, uma inje\u00e7\u00e3o SQL cr\u00edtica no Content API do Ghost, para extrair as chaves Admin API de centenas de sites sem qualquer autentica\u00e7\u00e3o.<\/p>\n\n\n\n

Em menos de tr\u00eas semanas ap\u00f3s a dete\u00e7\u00e3o p\u00fablica, a campanha j\u00e1 contabilizava mais de 700 dom\u00ednios comprometidos<\/strong>, abrangendo universidades, empresas de intelig\u00eancia artificial, plataformas SaaS, meios de comunica\u00e7\u00e3o, empresas de fintech e projetos de investiga\u00e7\u00e3o em seguran\u00e7a. A escala e velocidade do ataque s\u00e3o poss\u00edveis porque todo o processo \u00e9 automatizado: da dete\u00e7\u00e3o de sites vulner\u00e1veis \u00e0 inje\u00e7\u00e3o de c\u00f3digo malicioso sem qualquer interven\u00e7\u00e3o manual.<\/p>\n\n\n\n

Segundo os investigadores da XLab, dois grupos de amea\u00e7a distintos<\/strong> est\u00e3o por tr\u00e1s da campanha, com alguns sites a serem comprometidos no espa\u00e7o de um \u00fanico dia ap\u00f3s ficarem expostos online. “A campanha apresenta as caracter\u00edsticas claras de um ataque industrializado: varredura em massa de vulnerabilidades, extra\u00e7\u00e3o autom\u00e1tica de chaves e inje\u00e7\u00e3o em lote”, concluiu o relat\u00f3rio t\u00e9cnico da Qianxin XLab publicado a 21 de maio de 2026.<\/p>\n\n\n\n

A Vulnerabilidade CVE-2026-26980: Inje\u00e7\u00e3o SQL sem Autentica\u00e7\u00e3o<\/h2>\n\n\n\n

A CVE-2026-26980<\/strong> \u00e9 uma vulnerabilidade de inje\u00e7\u00e3o SQL do tipo blind (\u00e0s cegas) que afeta o Ghost CMS nas vers\u00f5es 3.24.0 a 6.19.0<\/strong>. O Ghost \u00e9 uma plataforma de publica\u00e7\u00e3o open-source baseada em Node.js, utilizada por mais de um milh\u00e3o de sites em todo o mundo, com foco em criadores de conte\u00fado, jornalistas e publica\u00e7\u00f5es digitais.<\/p>\n\n\n\n

A falha reside no mecanismo de ordena\u00e7\u00e3o do filtro de slugs no Content API. O c\u00f3digo da plataforma concatena diretamente valores de slugs fornecidos pelo utilizador em instru\u00e7\u00f5es SQL CASE sem qualquer parametriza\u00e7\u00e3o ou sanitiza\u00e7\u00e3o adequada. Isso permite que um atacante injete SQL arbitr\u00e1rio atrav\u00e9s do par\u00e2metro de ordena\u00e7\u00e3o, lendo qualquer tabela da base de dados Ghost, incluindo credenciais de administrador, hashes bcrypt de palavras-passe, segredos de sess\u00e3o e chaves Admin API.<\/p>\n\n\n\n

T\u00e9cnica da Inje\u00e7\u00e3o SQL por Tempo<\/h3>\n\n\n\n

O ataque usa uma t\u00e9cnica de oracle temporal para extrair dados um caractere de cada vez. O investigador da SonicWall Capture Labs explicou o mecanismo em detalhe: quando uma condi\u00e7\u00e3o SQL \u00e9 VERDADEIRA, a resposta do servidor demora aproximadamente 400 milissegundos<\/strong>; quando \u00e9 FALSA, a resposta chega em cerca de 10 milissegundos<\/strong>. Esta diferen\u00e7a de tempo permite aos atacantes inferir o valor exato de cada caractere das chaves e credenciais armazenadas na base de dados.<\/p>\n\n\n\n

O processo exige apenas um \u00fanico pedido HTTP GET n\u00e3o autenticado<\/strong> com um payload crafted no par\u00e2metro filter=slug:[...]<\/code>. N\u00e3o \u00e9 necess\u00e1ria autentica\u00e7\u00e3o, intera\u00e7\u00e3o do utilizador ou qualquer ponto de apoio pr\u00e9vio no sistema. Um atacante pode comprometer completamente uma instala\u00e7\u00e3o Ghost vulner\u00e1vel em poucos minutos de forma totalmente automatizada.<\/p>\n\n\n\n

GET \/ghost\/api\/content\/posts\/?key=<KEY>&filter=slug:[slug1,slug2,'PAYLOAD']\n\n\/* PAYLOAD de exemplo para extra\u00e7\u00e3o de chave Admin API via time-based SQLi *\/\n\/* TRUE: resposta ~400ms | FALSE: resposta ~10ms *\/<\/code><\/pre>\n\n\n\n
Como Funciona o Ataque em Cinco Fases<\/h2>\n\n\n\n
O relat\u00f3rio t\u00e9cnico da XLab identifica cinco fases distintas no ataque, que segue um padr\u00e3o altamente estruturado e completamente automatizado:<\/p>\n\n\n\n
Automatiza\u00e7\u00e3o Total: Da Dete\u00e7\u00e3o ao Comprometimento<\/h3>\n\n\n\n
Fase 1, Tomada do CMS:<\/strong> O atacante realiza varredura autom\u00e1tica de sites que usam Ghost CMS. Obt\u00e9m a chave Content API p\u00fablica diretamente do HTML do site renderizado (atributo data-key=\"...\"<\/code> injetado pelo {{ghost_head}}<\/code>), sem qualquer login. Em seguida, extrai dois slugs de artigos publicados para usar como ancoras no payload da inje\u00e7\u00e3o SQL.<\/p>\n\n\n\n
Fase 2, Envenenamento de P\u00e1ginas:<\/strong> Com a chave Admin API extra\u00edda, o atacante usa a API administrativa do Ghost para modificar artigos em lote, injetando loaders JavaScript maliciosos no final de cada p\u00e1gina. Estes loaders s\u00e3o projetados para n\u00e3o parecerem suspeitos na an\u00e1lise est\u00e1tica.<\/p>\n\n\n\n
Fase 3, Carregamento em Dois Est\u00e1gios:<\/strong> O JavaScript injetado carrega um segundo payload a partir de um servidor de Comando e Controlo (C2) din\u00e2mico. Esta arquitetura de dois est\u00e1gios dificulta a dete\u00e7\u00e3o e permite aos atacantes mudar o payload final sem alterar o c\u00f3digo nos sites comprometidos.<\/p>\n\n\n\n
Fase 4, Engenharia Social ClickFix:<\/strong> O payload final apresenta ao visitante uma p\u00e1gina de verifica\u00e7\u00e3o humana falsa, imitando o sistema CAPTCHA da Cloudflare. A p\u00e1gina instrui o utilizador a copiar e colar um comando no terminal ou PowerShell para “completar a verifica\u00e7\u00e3o”.<\/p>\n\n\n\n
Fase 5, Entrega de Malware:<\/strong> O comando que o utilizador copia e executa descarrega e instala malware no dispositivo da v\u00edtima. A natureza do malware varia entre os dois grupos de amea\u00e7a identificados, mas inclui infostealers capazes de roubar credenciais, cookies de sess\u00e3o e dados de carteiras de criptomoedas.<\/p>\n\n\n\n
V\u00edtimas Confirmadas: Harvard, Oxford e DuckDuckGo<\/h2>\n\n\n\n
A lista de organiza\u00e7\u00f5es cujos sites foram comprometidos pela campanha inclui nomes de alto perfil. Os investigadores da QiAnXin confirmaram o comprometimento de sites pertencentes a Harvard University<\/strong>, Oxford University<\/strong>, Auburn University<\/strong> e DuckDuckGo<\/strong>, entre mais de 700 dom\u00ednios afetados. A presen\u00e7a de universidades de prest\u00edgio aumenta o impacto do ataque, pois os visitantes tendem a confiar mais em sites de institui\u00e7\u00f5es acad\u00e9micas reconhecidas.<\/p>\n\n\n\n
Para a DuckDuckGo, motor de busca focado na privacidade com centenas de milh\u00f5es de utilizadores em todo o mundo, o incidente levanta quest\u00f5es sobre a monitoriza\u00e7\u00e3o de seguran\u00e7a da infraestrutura de conte\u00fado. A empresa usa Ghost CMS em algumas das suas propriedades editoriais secund\u00e1rias, que foram afetadas pelo ataque.<\/p>\n\n\n\n
Os sectores mais afetados, de acordo com a an\u00e1lise da XLab, s\u00e3o universidades e institui\u00e7\u00f5es acad\u00e9micas (maior confian\u00e7a dos utilizadores), empresas blockchain e fintech (utilizadores com maior motiva\u00e7\u00e3o financeira), plataformas SaaS e de IA (alto valor de credenciais), meios de comunica\u00e7\u00e3o e jornalismo digital, e empresas de investiga\u00e7\u00e3o em seguran\u00e7a, um alvo especialmente ir\u00f4nico.<\/p>\n\n\n\n
Os Dois Grupos de Amea\u00e7a por Tr\u00e1s da Campanha<\/h2>\n\n\n\n
A XLab identificou dois clusters de amea\u00e7a distintos<\/strong> a operar a campanha. Os dois grupos partilham a t\u00e9cnica de explora\u00e7\u00e3o da CVE-2026-26980, mas diferem na infraestrutura de C2, nos payloads finais entregues e na sele\u00e7\u00e3o de alvos. A exist\u00eancia de dois grupos independentes a explorar a mesma vulnerabilidade sugere que o exploit foi partilhado ou vendido em f\u00f3runs da dark web ap\u00f3s a publica\u00e7\u00e3o do patch em fevereiro de 2026.<\/p>\n\n\n\n
Esta situa\u00e7\u00e3o reflete um padr\u00e3o crescente no panorama de amea\u00e7as: a janela entre a publica\u00e7\u00e3o de um patch e a explora\u00e7\u00e3o ativa em larga escala continua a reduzir-se. No caso da CVE-2026-26980, o patch foi lan\u00e7ado em fevereiro de 2026, mas a campanha de explora\u00e7\u00e3o ativa s\u00f3 foi detetada em maio. Isso significa que administradores de sites Ghost tiveram cerca de 90 dias<\/strong> para aplicar o patch antes da campanha de explora\u00e7\u00e3o em massa come\u00e7ar. A maioria n\u00e3o o fez.<\/p>\n\n\n\n
ClickFix e FakeCaptcha: A Armadilha para o Utilizador Final<\/h2>\n\n\n\n
O ClickFix \u00e9 uma t\u00e9cnica de engenharia social em crescimento r\u00e1pido que combina a apar\u00eancia leg\u00edtima de p\u00e1ginas de verifica\u00e7\u00e3o CAPTCHA com a execu\u00e7\u00e3o de c\u00f3digo malicioso pelo utilizador. Em vez de explorar falhas t\u00e9cnicas no browser, o ataque manipula o utilizador para executar voluntariamente um comando que instala malware.<\/p>\n\n\n\n
Como Reconhecer o Ataque FakeCaptcha<\/h3>\n\n\n\n
A p\u00e1gina FakeCaptcha imita fielmente o aspeto visual do sistema de verifica\u00e7\u00e3o humana da Cloudflare, incluindo o log\u00f3tipo, as cores e a anima\u00e7\u00e3o do bot\u00e3o. A diferen\u00e7a est\u00e1 nas instru\u00e7\u00f5es: em vez de pedir apenas um clique, a p\u00e1gina falsa instrui o utilizador a pressionar Win+R<\/kbd> no Windows (ou abrir o Terminal no macOS), colar um comando e pressionar Enter para “completar a verifica\u00e7\u00e3o”.<\/p>\n\n\n\n
O comando copiado \u00e9 tipicamente um one-liner PowerShell que descarrega e executa um script remoto. Segundo a an\u00e1lise da SonicWall Capture Labs, o payload final varia conforme o grupo de amea\u00e7a, mas inclui infostealers como o Lumma Stealer, capazes de exfiltrar credenciais guardadas no browser, cookies de sess\u00e3o autenticada, carteiras de criptomoedas e ficheiros sens\u00edveis do utilizador.<\/p>\n\n\n\n
A efic\u00e1cia do ClickFix reside em explorar a confian\u00e7a impl\u00edcita que os utilizadores depositam em sites de institui\u00e7\u00f5es conhecidas. Quando um visitante da Auburn University ou de um site da DuckDuckGo v\u00ea uma p\u00e1gina de verifica\u00e7\u00e3o “da Cloudflare”, a probabilidade de seguir as instru\u00e7\u00f5es sem questionar \u00e9 significativamente maior do que num site desconhecido.<\/p>\n\n\n\n
Tabela: Compara\u00e7\u00e3o com Vulnerabilidades Recentes em Plataformas CMS<\/h2>\n\n\n\n
CVE<\/th>Plataforma<\/th>CVSS<\/th>Sites Afetados<\/th>Dias at\u00e9 Explora\u00e7\u00e3o<\/th>Tipo<\/th><\/tr><\/thead>
CVE-2026-26980<\/td>Ghost CMS 3.24\u20136.19<\/td>9,4<\/td>700+<\/td>~90 dias<\/td>Inje\u00e7\u00e3o SQL n\u00e3o autenticada<\/td><\/tr>
CVE-2026-41940<\/td>cPanel\/WHM<\/td>9,8<\/td>1.500.000+<\/td><30 dias<\/td>Bypass de autentica\u00e7\u00e3o<\/td><\/tr>
CVE-2026-20253<\/td>Splunk Enterprise<\/td>9,8<\/td>>1.000<\/td><14 dias<\/td>RCE sem autentica\u00e7\u00e3o<\/td><\/tr>
CVE-2026-21962<\/td>Oracle WebLogic<\/td>10,0<\/td>140.000+<\/td><7 dias<\/td>RCE cr\u00edtico<\/td><\/tr>
CVE-2026-10956<\/td>Ghost CMS (anterior)<\/td>8,8<\/td>Estimado >200<\/td>>60 dias<\/td>Inje\u00e7\u00e3o SQL autenticada<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Contexto Hist\u00f3rico: Ataques a CMS em Larga Escala<\/h2>\n\n\n\n
O comprometimento em massa de plataformas CMS para entrega de malware n\u00e3o \u00e9 novidade, mas a escala e automa\u00e7\u00e3o dos ataques modernos superam em muito o que era poss\u00edvel h\u00e1 cinco anos. A campanha contra o Ghost CMS recorda campanhas anteriores contra o WordPress, Joomla e Drupal, mas com uma diferen\u00e7a crucial: o grau de automa\u00e7\u00e3o.<\/p>\n\n\n\n
Em 2021 e 2022, ataques a plugins do WordPress comprometeram centenas de milhares de sites, mas exigiam frequentemente explora\u00e7\u00e3o manual de cada alvo. A campanha CVE-2026-26980 demonstra que os grupos de amea\u00e7a modernos constroem pipelines completamente automatizados que escalam para centenas de sites em horas, sem interven\u00e7\u00e3o humana ap\u00f3s o disparo inicial.<\/p>\n\n\n\n
Para John Fokker, respons\u00e1vel de threat intelligence da Trellix, este padr\u00e3o reflete uma tend\u00eancia mais ampla: “Os grupos de amea\u00e7a industrializaram a explora\u00e7\u00e3o de CVEs de CMS. A janela de explora\u00e7\u00e3o ap\u00f3s a publica\u00e7\u00e3o de um patch continua a comprimir-se. O que antes levava meses agora acontece em semanas ou dias, tornando os ciclos de patching tradicionais insuficientes para a maioria das organiza\u00e7\u00f5es.”<\/p>\n\n\n\n
O Ghost CMS \u00e9 particularmente relevante para este tipo de ataque porque \u00e9 amplamente utilizado por meios de comunica\u00e7\u00e3o independentes, blogs t\u00e9cnicos e publica\u00e7\u00f5es acad\u00e9micas, precisamente os tipos de site cujos visitantes s\u00e3o mais propensos a confiar nas p\u00e1ginas que encontram e a seguir instru\u00e7\u00f5es apresentadas de forma leg\u00edtima.<\/p>\n\n\n\n
Impacto no Mercado e nos Sectores Afetados<\/h2>\n\n\n\n
O impacto econ\u00f3mico de uma campanha ClickFix bem-sucedida \u00e9 dif\u00edcil de quantificar diretamente, mas os dados do sector d\u00e3o uma perspetiva clara. Segundo o Relat\u00f3rio Unit 42 da Palo Alto Networks de 2026, os infostealers exfiltram dados em m\u00e9dia em 72 minutos<\/strong> ap\u00f3s o comprometimento inicial. Uma vez que as credenciais e cookies de sess\u00e3o s\u00e3o roubados, os atacantes podem aceder a contas banc\u00e1rias, plataformas de cloud, reposit\u00f3rios de c\u00f3digo e sistemas empresariais antes que qualquer alerta seja disparado.<\/p>\n\n\n\n
Para as 700+ organiza\u00e7\u00f5es<\/strong> cujos sites foram comprometidos, as consequ\u00eancias potenciais incluem responsabilidade legal por veicular malware aos seus visitantes, danos reputacionais, custos de resposta a incidentes e, em casos mais graves, a\u00e7\u00f5es regulat\u00f3rias ao abrigo do RGPD na Europa por terem colocado em risco os dados dos utilizadores.<\/p>\n\n\n\n
Marcus Murray, fundador da Truesec e especialista em resposta a incidentes, sublinha o impacto indireto: “O verdadeiro custo para as organiza\u00e7\u00f5es comprometidas n\u00e3o est\u00e1 s\u00f3 na resposta ao incidente do seu pr\u00f3prio site. Est\u00e1 nas responsabilidades legais derivadas de os seus utilizadores terem sido infetados com malware enquanto visitavam uma propriedade da organiza\u00e7\u00e3o. Em contexto europeu, isso pode traduzir-se em notifica\u00e7\u00f5es obrigat\u00f3rias ao abrigo do RGPD e potenciais coimas.”<\/p>\n\n\n\n
Tabela: Sectores Afetados pela Campanha Ghost CMS ClickFix<\/h2>\n\n\n\n
Sector<\/th>Risco Relativo<\/th>Motiva\u00e7\u00e3o dos Atacantes<\/th>Impacto para Visitantes<\/th><\/tr><\/thead>
Universidades e academia<\/td>Alto<\/td>Confian\u00e7a elevada dos visitantes<\/td>Roubo de credenciais acad\u00e9micas e pessoais<\/td><\/tr>
Fintech e blockchain<\/td>Muito alto<\/td>Carteiras cripto e credenciais financeiras<\/td>Perda financeira direta<\/td><\/tr>
Media e jornalismo<\/td>Alto<\/td>Grande audi\u00eancia, credibilidade<\/td>Malware para leitores em larga escala<\/td><\/tr>
SaaS e IA<\/td>Alto<\/td>Credenciais de alto valor empresarial<\/td>Comprometimento de contas corporativas<\/td><\/tr>
Investiga\u00e7\u00e3o em seguran\u00e7a<\/td>M\u00e9dio-alto<\/td>Ironia t\u00e1ctica, acesso a ferramentas<\/td>Comprometimento de sistemas t\u00e9cnicos<\/td><\/tr>
Blogs pessoais t\u00e9cnicos<\/td>M\u00e9dio<\/td>Volume, audi\u00eancia t\u00e9cnica<\/td>Roubo de credenciais e tokens dev<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
A Resposta da Ghost Foundation e a Corre\u00e7\u00e3o Dispon\u00edvel<\/h2>\n\n\n\n
A Ghost Foundation lan\u00e7ou a vers\u00e3o 6.19.1 em fevereiro de 2026<\/strong>, mais de tr\u00eas meses antes de a campanha de explora\u00e7\u00e3o ativa ser detetada. O patch implementa consultas parametrizadas para a funcionalidade de ordena\u00e7\u00e3o do filtro de slugs, garantindo que os valores fornecidos pelo utilizador s\u00e3o tratados como dados e n\u00e3o como c\u00f3digo SQL execut\u00e1vel.<\/p>\n\n\n\n
A corre\u00e7\u00e3o \u00e9 direta e n\u00e3o exige configura\u00e7\u00e3o adicional. Qualquer administrador que atualize para a vers\u00e3o 6.19.1 ou posterior fica imediatamente protegido. O problema, como em tantos incidentes de seguran\u00e7a, n\u00e3o \u00e9 a indisponibilidade de um patch, mas a velocidade de ado\u00e7\u00e3o. Centenas de sites Ghost permaneceram em vers\u00f5es vulner\u00e1veis por mais de 90 dias ap\u00f3s a disponibiliza\u00e7\u00e3o da corre\u00e7\u00e3o.<\/p>\n\n\n\n
Para al\u00e9m da atualiza\u00e7\u00e3o imediata, a SonicWall Capture Labs recomenda que os administradores de sites Ghost revejam os registos de acesso \u00e0 Content API \u00e0 procura de pedidos com padr\u00f5es suspeitos no par\u00e2metro filter=slug<\/code>, auditem artigos publicados \u00e0 procura de JavaScript injetado no final das p\u00e1ginas, e revoguem e regenerem todas as chaves Admin API por precau\u00e7\u00e3o. “Mesmo que o site j\u00e1 tenha sido atualizado, se esteve em vers\u00e3o vulner\u00e1vel entre fevereiro e maio de 2026, deve assumir que as chaves Admin API podem ter sido comprometidas e regener\u00e1-las imediatamente”, alertou a equipa de investiga\u00e7\u00e3o da SonicWall.<\/p>\n\n\n\n
An\u00e1lise de Especialistas: O Que Torna Esta Campanha Diferente<\/h2>\n\n\n\n
Para os investigadores que acompanham campanhas de malware, a CVE-2026-26980 destaca-se por v\u00e1rias raz\u00f5es t\u00e9cnicas e t\u00e1ticas. Primeiro, o facto de n\u00e3o ser necess\u00e1ria qualquer autentica\u00e7\u00e3o significa que o ataque escala para qualquer site vulner\u00e1vel exposto na internet, independentemente das configura\u00e7\u00f5es de seguran\u00e7a adicionais implementadas.<\/p>\n\n\n\n
Segundo, a combina\u00e7\u00e3o de uma vulnerabilidade t\u00e9cnica no servidor com uma t\u00e9cnica de engenharia social no cliente cria um vetor de ataque duplo que \u00e9 dif\u00edcil de bloquear com uma \u00fanica contramedida. Um WAF pode bloquear os payloads de SQLi no servidor, mas n\u00e3o impede que visitantes leg\u00edtimos de sites j\u00e1 comprometidos se depararem com a FakeCaptcha.<\/p>\n\n\n\n
Mike Walters, vice-presidente de gest\u00e3o de vulnerabilidades da Action1, contextualiza o impacto: “O Ghost CMS tem uma base de utilizadores altamente qualificada e t\u00e9cnica. Sites de investiga\u00e7\u00e3o em seguran\u00e7a, blogs de ciberseguran\u00e7a e publica\u00e7\u00f5es tecnol\u00f3gicas est\u00e3o entre os comprometidos. Isso significa que o malware ClickFix entregue a partir destes sites atinge potencialmente utilizadores com acesso a sistemas de alto valor. \u00c9 um targeting indireto extraordinariamente eficiente.”<\/p>\n\n\n\n
Kimberly Goody, diretora de an\u00e1lise de crime cibern\u00e9tico da Mandiant (Google), aponta para a evolu\u00e7\u00e3o das t\u00e9cnicas: “O ClickFix representou uma das maiores mudan\u00e7as t\u00e1ticas dos grupos de malware nos \u00faltimos 18 meses. Em vez de explorar o browser, explora a disposi\u00e7\u00e3o humana para seguir instru\u00e7\u00f5es em contextos que parecem leg\u00edtimos. Combinar ClickFix com o comprometimento de sites de institui\u00e7\u00f5es acad\u00e9micas de prest\u00edgio \u00e9 particularmente eficaz e espera-se ver esta combina\u00e7\u00e3o em mais campanhas ao longo de 2026.”<\/p>\n\n\n\n
Impacto para Portugal e a Uni\u00e3o Europeia<\/h2>\n\n\n\n
Em Portugal, o uso do Ghost CMS est\u00e1 crescendo entre publica\u00e7\u00f5es digitais independentes, blogs de tecnologia e media acad\u00e9mico. A campanha CVE-2026-26980 \u00e9 diretamente relevante para o contexto nacional por tr\u00eas raz\u00f5es. Primeiro, sites portugueses que usem Ghost nas vers\u00f5es afetadas podem estar entre os 700+ comprometidos, mesmo que n\u00e3o tenham sido especificamente identificados nos relat\u00f3rios publicados.<\/p>\n\n\n\n
Segundo, utilizadores portugueses que visitem sites internacionais comprometidos, incluindo propriedades de Harvard ou Oxford, est\u00e3o expostos ao ClickFix se n\u00e3o reconhecerem a t\u00e9cnica FakeCaptcha. O CNCS (Centro Nacional de Ciberseguran\u00e7a) atualizou o seu curso de e-learning “Cidad\u00e3o Cibersocial” em maio de 2026, precisamente para incluir alertas sobre este tipo de t\u00e9cnicas de engenharia social.<\/p>\n\n\n\n
Terceiro, ao abrigo do RGPD e da Diretiva NIS2<\/strong>, organiza\u00e7\u00f5es europeias cujos sites tenham sido comprometidos e tenham veiculado malware a utilizadores podem estar obrigadas a notificar a autoridade competente. Em Portugal, isso implica notifica\u00e7\u00e3o \u00e0 CNPD (Comiss\u00e3o Nacional de Prote\u00e7\u00e3o de Dados) no prazo de 72 horas ap\u00f3s o conhecimento do incidente.<\/p>\n\n\n\n
Previs\u00f5es para 2026-2027: O Futuro das Campanhas ClickFix<\/h2>\n\n\n\n
Com base na an\u00e1lise t\u00e9cnica da CVE-2026-26980 e nos padr\u00f5es observados em campanhas anteriores, \u00e9 poss\u00edvel fazer cinco previs\u00f5es fundamentadas para a evolu\u00e7\u00e3o deste tipo de amea\u00e7a:<\/p>\n\n\n\n
1. Aumento das campanhas ClickFix em 2026-2027.<\/strong> A efic\u00e1cia demonstrada da t\u00e9cnica FakeCaptcha contra utilizadores de sites de prest\u00edgio ir\u00e1 motivar outros grupos de amea\u00e7a a adot\u00e1-la. Espera-se um aumento de 40-60% nas campanhas que combinam comprometimento de sites leg\u00edtimos com ClickFix at\u00e9 ao final de 2026.<\/p>\n\n\n\n
2. Novos alvos CMS al\u00e9m do Ghost.<\/strong> Os grupos de amea\u00e7a que desenvolveram a infraestrutura de ataque para o Ghost CMS ir\u00e3o procurar vulnerabilidades similares noutras plataformas de publica\u00e7\u00e3o de nicho, incluindo Strapi, Payload CMS e outros CMS baseados em Node.js com APIs p\u00fablicas.<\/p>\n\n\n\n
3. Explora\u00e7\u00e3o mais r\u00e1pida ap\u00f3s publica\u00e7\u00e3o de patches.<\/strong> A janela de 90 dias que existiu neste caso est\u00e1 a comprimir-se. Com a prolifera\u00e7\u00e3o de ferramentas de an\u00e1lise autom\u00e1tica de patches para identificar vulnerabilidades, espera-se que campanhas de explora\u00e7\u00e3o em massa comecem dentro de 30 dias ap\u00f3s a publica\u00e7\u00e3o de patches cr\u00edticos em 2027.<\/p>\n\n\n\n
4. Ado\u00e7\u00e3o obrigat\u00f3ria de atualiza\u00e7\u00f5es autom\u00e1ticas em contexto regulat\u00f3rio.<\/strong> O incidente vai refor\u00e7ar press\u00f5es regulat\u00f3rias europeias, nomeadamente ao abrigo do Cyber Resilience Act, para que plataformas de software introduzam mecanismos de atualiza\u00e7\u00e3o autom\u00e1tica por defeito em instala\u00e7\u00f5es auto-hospedadas.<\/p>\n\n\n\n
5. Uso crescente de WAF e CSP como mitiga\u00e7\u00f5es preventivas.<\/strong> O incidente ir\u00e1 acelerar a ado\u00e7\u00e3o de Web Application Firewalls e pol\u00edticas de Content Security Policy estritas entre administradores de CMS, reduzindo a efic\u00e1cia de futuros ataques similares nos pr\u00f3ximos 12-18 meses.<\/p>\n\n\n\n
O Que Devem Fazer os Administradores de Sites Ghost Agora<\/h2>\n\n\n\n
Para qualquer administrador de um site Ghost CMS, a a\u00e7\u00e3o imediata \u00e9 clara e urgente. A lista de prioridades, por ordem de impacto, come\u00e7a pela atualiza\u00e7\u00e3o imediata para a vers\u00e3o 6.19.1 ou posterior, seguida da revoga\u00e7\u00e3o e regenera\u00e7\u00e3o de todas as chaves Admin API como medida preventiva. Em terceiro lugar, a auditoria de todos os artigos e p\u00e1ginas publicados \u00e0 procura de JavaScript injetado, especialmente no final do conte\u00fado. Por fim, a revis\u00e3o dos registos de acesso \u00e0 API \u00e0 procura de pedidos com payloads no par\u00e2metro de filtro de slugs nos \u00faltimos 90 dias.<\/p>\n\n\n\n
Para organiza\u00e7\u00f5es com presen\u00e7a digital em Ghost CMS, a implementa\u00e7\u00e3o de uma Pol\u00edtica de Seguran\u00e7a de Conte\u00fado (CSP)<\/strong> estrita \u00e9 uma medida adicional que teria dificultado significativamente a inje\u00e7\u00e3o e execu\u00e7\u00e3o do JavaScript malicioso, mesmo em sites vulner\u00e1veis. Da mesma forma, um WAF com regras de dete\u00e7\u00e3o de inje\u00e7\u00e3o SQL poderia ter bloqueado os payloads de explora\u00e7\u00e3o antes de chegarem \u00e0 aplica\u00e7\u00e3o.<\/p>\n\n\n\n
Cobertura Relacionada<\/h2>\n\n\n\n
Para aprofundar o contexto desta campanha e as melhores pr\u00e1ticas de defesa, consulte tamb\u00e9m:<\/p>\n\n\n\n