بازیگران باج‌افزار Magniber از گونه‌ای از Microsoft SmartScreen bypass استفاده کردند

در سپتامبر 2022، باج‌افزار Magniber با استفاده از فایل‌های JScript تحویل داده شد. در ماه اکتبر، HP Threat Research درباره این کمپین های Magniber وبلاگ نویسی کرد که بر اساس آن یک محقق امنیتی متوجه شد اشکال در SmartScreen که به مهاجم اجازه می‌دهد از امضای Authenticode نادرست برای دور زدن هشدارهای امنیتی SmartScreen استفاده کند. در 28 اکتبر، 0patch تحقیقات و پچ توصیه های بیشتری را منتشر کرد.

در اواسط نوامبر، سایر بازیگران تهدید از همان راه دور برای انتشار بدافزار Qakbot استفاده کردند. امضاهای Authenticode در کمپین‌های Qakbot نوامبر 2022 به‌طور چشمگیری شبیه به امضاهای استفاده شده توسط Magniber بودند، که نشان می‌دهد این دو اپراتور یا بای‌پس‌ها را از یک ارائه‌دهنده خریداری کرده‌اند یا از تکنیک یکدیگر کپی کرده‌اند. مایکروسافت بای پس امنیتی را در دسامبر 2022 با نام CVE-2022-44698 وصله کرد.

مشابه با عبوری که اکنون رخ می‌دهد، بازیگران باج‌افزار Magniber از CVE-2022-44698 قبل از عرضه وصله استفاده کردند. با این حال، بازیگران Magniber از فایل‌های JScript در کمپین‌های قبلی استفاده می‌کردند، در حالی که در کمپین فعلی از فایل‌های MSI با نوع دیگری از امضای نادرست استفاده می‌کردند.