Los aficionados al deporte de todo el mundo esperan los Juegos Olímpicos 2008 ya que sus héroes deportivos representan a sus países en varias competencias. Los organizadores emitieron más de siete millones de boletos y comenzaron a venderlos en abril de 2007; se vendieron más de 2.2 millones de boletos en los dos primeros meses.
Un mes antes del inicio de las Olimpiadas, Trend Micro recibió muestras de código malicioso que se cree explotan vulnerabilidades de varias aplicaciones de Microsoft Office. El interés en estas muestras alcanzó su punto máximo cuando los investigadores comenzaron a alertar a los usuarios sobre una explotación de día cero en una de las muestras de MS Word. Los autores de código malicioso parecen haber agregado a estos archivos ciertos códigos que se ejecutaban automáticamente cuando los usuarios daban doble clic en los archivos o los abrían.
Como todos los investigadores de seguridad lo saben, las vulnerabilidades de las aplicaciones siguen siendo la perdición de los proveedores de software y usuarios por igual. Ya que las funcionalidades de estas aplicaciones hacen la vida más sencilla, el código inseguro también permite que los autores de código malicioso exploten vulnerabilidades de los programas para sus propios fines.
Las muestras incluyen archivos de MS Word, MS PowerPoint y MS Excel, los cuales tienen nombres o contenido relacionado con los Juegos Olímpicos. Estos archivos aprovechan las siguientes vulnerabilidades:
– CVE-2008-224: Una vulnerabilidad de MS Office Word 2008 Service Pack 3 que permite la ejecución de código arbitrario cuando se abre un archivo .DOC especialmente creado.
– MS06-028: Una vulnerabilidad de MS PowerPoint que permite la ejecución remota de código.
– MS08-014: Una vulnerabilidad crítica en diferentes versiones de MS Excel que permite la ejecución remota de código.
Cuando se abren los archivos, ejecutan un código shell que a su vez ejecuta otro archivo integrado.
Si bien la amplitud y complejidad de estos ataques es realmente sorprendente, no es la primera vez que los autores de código malicioso aprovechan la popularidad de eventos deportivos. Las Olimpiadas, en general, es el evento favorito de los autores de código malicioso. Un ataque de spam se registró en agosto de 2004 que estaba dirigido a los usuarios que querían ver a los ganadores de medallas. Una variante de BAGLE se colgó de los Juegos de Invierno de Turín 2006. En 2007, hubo hoaxes relacionados con la antorcha Olímpica que quemaría todo el disco duro de la PC de la víctima.
Los fanáticos de las Olimpiadas en general están en riesgo, sin saberlo, de proporcionar información personal o corporativa, incluyendo datos de cuentas financieras, a los ciber criminales. Los usuarios con PCs infectadas con TROJ_DROPPER.ZT, TROJ_PPDROP.M y TROJ_DROPPER.ZY otorgan el control de sus PCs a usuarios maliciosos remotos. Los usuarios de PCs que se han convertido en servidores Proxy para los hackers pueden estar involucrados en actividades maliciosas en línea. Al momento de redactar este documento, la mayoría de las infecciones relacionadas con este ataque residen en Asia, con Norteamérica como un lejano segundo lugar.
