一个 Mac OS X 远程偷拍图片的木马，其作者被指控使用该木马长达 13 年

https://blog.malwarebytes.com/threat-analysis/2017/01/new-mac-backdoor-using-antiquated-code/

这玩意错综复杂，本体是一个 perl 脚本，自带使用 screencapture 命令截图的功能，然后会释放一个 Java 的 class 文件和一个可执行文件，并试图运行它们；整个程序运行在当前用户权限之下。 可执行文件里面使用了 QuickTime 的 API （ Sequence Grabber ）来调用摄像头拍摄图片，使用了非 libjpeg-turbo 的古董版本 libjpeg 来压缩图片。原文认为，这两套东西都比 Mac OS X 10.0 都早，说明这个木马最早版本可能是 N 年之前的产物，甚至可能在 Mac 还是 PowerPC 的时期就搞出来了。而这个 Java 程序里面又是另外一种截图方法，以及模拟键盘鼠标操作。

程序还会从服务器上下载两个 perl 脚本，负责用 mDNS 查找内网其他机器并连接其他机器，但并没有提到其使用漏洞向其他机器传播自身。原文从脚本中和 Yosemite 相关的一处注释上来看，这个木马至少是从 Yosemite 时期开始活动的，然后于 2017 年初被发现。奇怪的是，这个木马如此简单（就是一个 launchagent+一个 perl 脚本），没有使用任何漏洞，除了混淆了 perl 代码之外也没有任何自我保护措施，居然在 2017 年 1 月之前一直没有被发现。

一个看姓氏是俄罗斯或者东欧的黑客 Phillip R. Durachinsky 在 2017 年初因为其他的案件被捕，上周在联邦法庭遭到起诉，根据指控，他利用这个木马偷拍照片为期长达 13 年，偷拍了数百万张图片。 https://www.justice.gov/opa/pr/ohio-computer-programmer-indicted-infecting-thousands-computers-malicious-software-and https://arstechnica.com/information-technology/2018/01/man-charged-in-malware-mystery-that-allegedly-spied-on-mac-users-for-13-years/