El CCN-CERT ha publicado en la parte privada del portal (de acceso restringido a los miembros de su Comunidad) el Informe de Código Dañino CCN-CERT ID-10/15 "Upatre". En él se analiza una muestra que se corresponde con el downloader Upatre comúnmente utilizado para descargar y ejecutar el troyano bancario Dyre. Dicho espécimen ha sido ampliamente difundido por la botnet CUTWAIL, sin embargo, las últimas versiones de Dyre, tal y como se describe en el análisis de TrendMicro, tiene capacidad para componer mensajes de Microsoft Outlook y enviar correos en los que incluirá como adjunto el downloader Upatre. Para ello, descargará un mass mailer que utilizará la DLL msmapi32.dll de Outlook para componer y envíar correos a una lista de contactos recibidos desde determinado servidor de control. En Cysecurity se describen algunas de las características de los mensajes de spam enviados por Dyre.
El Informe ID-10/15 recoge las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características técnicas
- Cifrado y ofuscación
- Conexiones de red
- Información del atacante
- Reglas de detección
Acceso a CCN-CERT ID-10/15
