Selon l’analyse référencée par Malasada Tech, « Convert Master » est un browser hijacker se faisant passer pour un outil de conversion de documents et distribué via des publicités Google malveillantes.

Le malware récupère dynamiquement sa configuration depuis une infrastructure C2 (conf.conclie.com/ConMasD) afin de cibler des navigateurs spécifiques et d’injecter des URL de moteurs de recherche. Il modifie les paramètres du navigateur pour ajouter de faux moteurs, notamment Mapilor et Retro Revive, et met en place une chaîne de redirection: requête utilisateur → Mapilor (wesd.mapilor.com) → Retro Revive (searchretrorevive.com) → Yahoo Search, permettant un suivi des requêtes et une potentielle exfiltration de données. 🧭

Sur le plan technique, l’échantillon (SHA256: d0c7471c7950b2f80dbf92f929dfb0f10d518b551b326e56e9b2870de90196f3) utilise des méthodes observables dans dnSpy telles que « P », « PressKeyDown » et « navigate » pour automatiser des frappes clavier (CTRL+L, SHIFT+F10, touches fléchées) et manipuler les préférences de Firefox. Il ajoute les faux moteurs via les fonctionnalités natives du navigateur et les définit comme moteurs par défaut. ⌨️🦊

Pour la persistance, le logiciel indésirable crée des modifications de registre et des raccourcis sur le bureau. 📌

IOC (Indicateurs de compromission):

  • SHA256: d0c7471c7950b2f80dbf92f929dfb0f10d518b551b326e56e9b2870de90196f3
  • C2: conf.conclie.com/ConMasD
  • Faux moteurs/redirections: wesd.mapilor.com (Mapilor), searchretrorevive.com (Retro Revive)

TTPs (techniques, tactiques et procédures):

  • Diffusion via malvertising (publicités Google malveillantes)
  • Récupération de configuration dynamique via C2
  • Hijacking des paramètres de recherche et injection de faux moteurs
  • Automatisation de frappes clavier (CTRL+L, SHIFT+F10, flèches) pour modifier Firefox
  • Chaîne de redirection vers Yahoo après intermédiaires
  • Persistance par modifications du registre et raccourcis
  • Analyse et fonctions observées avec dnSpy (méthodes « P », « PressKeyDown », « navigate »)

Il s’agit d’une analyse de menace détaillant le fonctionnement d’un PUP/hijacker et ses IOCs, à des fins de renseignement technique.

🧠 TTPs et IOCs détectés

TTPs

[‘Diffusion via malvertising (publicités Google malveillantes)’, ‘Récupération de configuration dynamique via C2’, ‘Hijacking des paramètres de recherche et injection de faux moteurs’, ‘Automatisation de frappes clavier (CTRL+L, SHIFT+F10, flèches) pour modifier Firefox’, ‘Chaîne de redirection vers Yahoo après intermédiaires’, ‘Persistance par modifications du registre et raccourcis’, ‘Analyse et fonctions observées avec dnSpy (méthodes « P », « PressKeyDown », « navigate »)’]

IOCs

{‘hash’: ‘d0c7471c7950b2f80dbf92f929dfb0f10d518b551b326e56e9b2870de90196f3’, ‘domain’: [‘conf.conclie.com’, ‘wesd.mapilor.com’, ‘searchretrorevive.com’]}

🔗 Source originale : https://malasada.tech/convert-master-browser-hijacker-analysis/

🖴 Archive : https://web.archive.org/web/20251026112645/https://malasada.tech/convert-master-browser-hijacker-analysis/