https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/
这玩意错综复杂,本体是一个 perl 脚本,自带使用 screencapture 命令截图的功能,然后会释放一个 Java 的 class 文件和一个可执行文件,并试图运行它们;整个程序运行在当前用户权限之下。 可执行文件里面使用了 QuickTime 的 API ( Sequence Grabber )来调用摄像头拍摄图片,使用了非 libjpeg-turbo 的古董版本 libjpeg 来压缩图片。原文认为,这两套东西都比 Mac OS X 10.0 都早,说明这个木马最早版本可能是 N 年之前的产物,甚至可能在 Mac 还是 PowerPC 的时期就搞出来了。而这个 Java 程序里面又是另外一种截图方法,以及模拟键盘鼠标操作。
程序还会从服务器上下载两个 perl 脚本,负责用 mDNS 查找内网其他机器并连接其他机器,但并没有提到其使用漏洞向其他机器传播自身。原文从脚本中和 Yosemite 相关的一处注释上来看,这个木马至少是从 Yosemite 时期开始活动的,然后于 2017 年初被发现。奇怪的是,这个木马如此简单(就是一个 launchagent+一个 perl 脚本),没有使用任何漏洞,除了混淆了 perl 代码之外也没有任何自我保护措施,居然在 2017 年 1 月之前一直没有被发现。
一个看姓氏是俄罗斯或者东欧的黑客 Phillip R. Durachinsky 在 2017 年初因为其他的案件被捕,上周在联邦法庭遭到起诉,根据指控,他利用这个木马偷拍照片为期长达 13 年,偷拍了数百万张图片。 https://www.justice.gov/opa/pr/ohio-computer-programmer-indicted-infecting-thousands-computers-malicious-software-and https://arstechnica.com/information-technology/2018/01/man-charged-in-malware-mystery-that-allegedly-spied-on-mac-users-for-13-years/
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.