В сентябре 2022 года программа-вымогатель Magniber была доставлена с использованием файлов JScript. В октябре HP Threat Research блог об этих кампаниях Magniber, после чего исследователь безопасности заметил ошибка в смартскрине что позволило злоумышленнику использовать искаженную подпись аутентификации для обхода предупреждений безопасности SmartScreen. 28 октября, 0патч опубликованы дополнительные исследования и рекомендации по обновлению.
В середине ноября другие злоумышленники использовали тот же обходной путь для распространения вредоносного ПО Qakbot. Подписи Authenticode в кампаниях Qakbot в ноябре 2022 года были поразительно похожи на те, которые использовались Magniber, что позволяет предположить, что два оператора либо приобрели обходные пути у одного и того же поставщика, либо скопировали технику друг друга. Microsoft исправила лазейку в безопасности в декабре 2022 года. CVE-2022-44698.
Подобно обходу, который происходит сейчас, злоумышленники-вымогатели Magniber использовали CVE-2022-44698 до того, как был выпущен патч. Однако в предыдущих кампаниях участники Magniber использовали файлы JScript, а в текущей кампании они используют файлы MSI с другим типом искаженной подписи.
