СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
27.10.2025
#ИБ#Инфра

Convert Master: угонщик браузера, перенаправляющий на Retro Revive

Новый отчет описывает поведение Convert Master — угонщика браузера, распространяемого в основном через рекламу. На первый взгляд это может выглядеть как полезное приложение для конвертации файлов, однако технический анализ раскрывает его истинную цель: изменение настроек браузера и перенаправление трафика ради прибыли.

Кратко о сути

После установки Convert Master создаёт на рабочем столе ярлык, ссылающийся на application.convertmasterapp.com, сайт, якобы предлагающий услуги по конвертации файлов. На самом деле этот интерфейс служит прикрытием: программа внедряет в браузеры новую поисковую систему Retro Revive, которая в итоге перенаправляет запросы в Yahoo Search. То есть Retro Revive выступает не самостоятельной поисковой системой, а «посредником» — фактически инструментом для перенаправлений.

Как работает Convert Master

  • Распространение: преимущественно через рекламные сети.
  • Целевая платформа: специально ориентирован на Firefox, но может динамически менять цель в соответствии с параметром ConMasD TargBr.
  • Маскировка: создаёт ярлык на рабочем столе, ведущий на application.convertmasterapp.com, что выглядит как легитимный сервис конвертации файлов.
  • Изменение браузера: добавляет новую поисковую систему Retro Revive и настраивает её как опцию поиска по умолчанию.
  • Перенаправления: запросы через Retro Revive не ищут напрямую в легальной системе, а перенаправляются в Yahoo Search, что подтверждает роль Retro Revive как посредника.
  • Изменения в системе: при установке манипулирует ключами реестра и настраивает строку удаления, которая может автоматически удалять значения реестра и ярлыки на рабочем столе.

Технический анализ

Аналитики использовали инструменты Any Run и dnSpy для изучения поведения Convert Master. Исследование показало, что ConMasD облегчает создание записей в реестре для Convert Master и программно управляет параметрами удаления (uninstall string). Действия при выполнении демонстрируют согласованные попытки не только изменить функциональность браузера, но и замаскировать истинные намерения через вводящие в заблуждение интерфейсы и ярлыки.

Анализ указывает на то, что Retro Revive — «простого посредника», не самостоятельную поисковую систему: запросы перенаправляются в Yahoo Search.

Признаки заражения

  • появление нового ярлыка на рабочем столе, указывающего на application.convertmasterapp.com;
  • изменение поисковой системы браузера на Retro Revive или сопутствующее появление неизвестной поисковой опции;
  • неожиданные перенаправления поисковых запросов или изменение поведения поиска;
  • самопроизвольное изменение настроек браузера или удаление ярлыков/значений реестра через uninstall string.

Риски и мотивация злоумышленников

Поведение Convert Master характерно для угонщиков браузера, мотивированных монетизацией перенаправлений и показом рекламы. Маскировка под сервис конвертации позволяет сохранять видимость легитимности и повышает вероятность того, что пользователи оставят программу установленной.

Рекомендации по защите и удалению

  • Удалите подозрительные ярлыки и не открывайте сайты, на которые они ведут (application.convertmasterapp.com).
  • Сбросьте настройки браузера к значениям по умолчанию и удалите неизвестные поисковые движки (особенно Retro Revive).
  • Просканируйте систему авторитетным антивирусом/анти‑malware и обновите сигнатуры.
  • Если вы обладаете навыками работы с Windows, проверьте реестр на создание подозрительных ключей и строк удаления; при сомнениях обратитесь к специалисту — ошибки в реестре могут повредить систему.
  • Ограничьте риск повторного попадания: используйте блокировщики рекламы и фильтры для снижения вероятности загрузки подобных программ через рекламные сети.
  • Для аналитиков: при необходимости повторного изучения поведения полезны среды песочницы и инструменты динамического/статического анализа, такие как Any Run и dnSpy.

Вывод

Convert Master демонстрирует типичное для угонщиков браузера поведение: маскировка под полезный сервис, изменение настроек браузера и перенаправления через посредническую поисковую систему с целью монетизации. Такое сочетание технических приёмов и социального инженерства подчёркивает вредоносную природу программы и необходимость внимательного отношения к подозрительным приложениям и рекламным объявлениям.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: