לפי חוקרי סייבר של חברת Sansec, לפחות שבע קבוצות מגהקארט מכוונות לאתרי מג'נטו במתקפות TrojanOrders. מג'נטו הינה מערכת ניהול תוכן (CMS) ייעודית להפעלת אתרי מסחר מקוונים. חברת Sansec המתמחה בזיהוי נקודות תורפה ואבטחת אתרים, הזהירה מפני עלייה במתקפות סייבר המנצלות פגם קריטי באתרי מג'נטו וכינו את המתקפות בשם Trojan Orders. הפגם שהתגלה משפיע על חנויות מג'נטו ו- Adobe Commerce. אדובי פרסמה תיקוני חירום לפגם זה בפברואר 2022 והזהירה את המנהלים והבעלים של חנויות המסחר האלקטרוני שהפגם מנוצל על ידי האקרים. מאוחר יותר אישרה Adobe שתיקוני החירום שפרסמה לקהילת המשתמשים שלה, ניתנים למעקף.
חוקרי Sansec הזהירו כי כ- 40% מאתרי מג'נטו הינם המוקד של מתקפות אלו. למעשה, החברה מאמינה שקבוצות הפריצה פועלות ללא לאות כדי להשיג שליטה באתרי מג'נטו פגיעים. מגמה זו צפויה להימשך כעת כאשר חנויות מקוונות מצפות לעלייה במספר הלקוחות לקראת חג המולד.
במתקפות TrojanOrders, מחדיר התוקף קוד JavaScript זדוני לאתר המסחר האלקטרוני כדי לשבש את פעילותו. הדבר יכול גם להוביל לגניבת כרטיסי אשראי של לקוחות החנות המקוונת. במידה ופעילות כזו מתבצעת ביום עמוס כמו בלאק פריידי או סייבר מאנדיי, היא עלולה לגרום לנזק רב. חולשת האבטחה שזוהתה הינה פגם באימות קלט במנגנון התשלום, אותו ניתן לנצל ללא אימות כדי להפעיל קוד זדוני באתר. ההאקרים מנתחים תחילה את חנויות Adobe Commerce ומג'נטו כדי ליצור טריגר באתר. הם שולחים מייל עם שדה אחד המכיל את קוד הניצול. טריגר זה יכול להיות ביצוע הזמנה, רישום לקוח או שיתוף רשימת משאלות של פריטים מהחנות. אם הטריגר מצליח, מנסים ההאקרים להשיג שליטה באתר הנגוע ולהתקין RAT (טרויאני גישה מרחוק) כדי לשמור על גישה קבועה גם אם הותקן באתר טלאי תיקון החירום. בדרך כלל, הדלת האחורית מוסתרת בקובץ health_check.php. חברת Sansec זיהתה שבעה וקטורי תקיפה המכוונים לפגיעות זו.
בבלוג Sansec, ציינו חוקרי הסייבר כי למרות שהתיקונים שוחררו לפני כ- 9 חודשים, שליש מאתרי מג'נטו עדיין לא יישמו אותם, כך שהם עלולים להיות פגיעים למתקפות TrojanOrders.
