Los enrutadores Linux en Jap\u00f3n son el objetivo de un nuevo troyano de acceso remoto (RAT) Golang llamado GobRAT<\/strong>.<\/p>\n “Inicialmente, el atacante apunta a un enrutador cuya WEBUI est\u00e1 abierta al p\u00fablico, ejecuta scripts posiblemente usando vulnerabilidades y finalmente infecta el GobRAT”, el Centro de Coordinaci\u00f3n JPCERT (JPCERT\/CC) dicho<\/a> en un informe publicado hoy.<\/p>\n El compromiso de un enrutador expuesto a Internet es seguido por la implementaci\u00f3n de un script de carga que act\u00faa como un conducto para entregar GobRAT, que, cuando se inicia, se hace pasar por el proceso del demonio Apache (apagado) para evadir la detecci\u00f3n.<\/p>\n El cargador tambi\u00e9n est\u00e1 equipado para deshabilitar firewalls, establecer persistencia utilizando el programador de trabajos cron y registrar una clave p\u00fablica SSH en el Archivo .ssh\/authorized_keys<\/a> para acceso remoto.<\/p>\n GobRAT, por su parte, se comunica con un servidor remoto a trav\u00e9s de Transport Layer Security (TLS<\/a>) para recibir hasta 22 comandos cifrados diferentes para su ejecuci\u00f3n.<\/p>\n Algunos de los comandos principales son los siguientes:<\/p>\n Los hallazgos se producen casi tres meses despu\u00e9s de que Lumen Black Lotus Labs revelara que los enrutadores de nivel empresarial han sido v\u00edctimas para espiar a las v\u00edctimas en Am\u00e9rica Latina, Europa y Am\u00e9rica del Norte utilizando un malware llamado HiatusRAT.<\/p>\n <\/p>\n\n