Tuve un incidente en el que se envió un correo electrónico de suplantación de identidad a todas las direcciones en la lista de autocompletar del cliente de correo electrónico (Outlook) a esta página de destino ( página Informe de VT ). ¡Incluso respondió a los correos electrónicos de los destinatarios que cuestionaron al remitente sobre el contenido!
La computadora era una Windows 7 (actualizada) con Enterprise End Point Security (actualizada), pero el usuario tenía privilegios de administrador.
Un escaneo de disco en línea captó lo que creo que es un malware no relacionado que estaba presente antes de la instalación de AV ().
La computadora ha sido apagada. El lunes tendré acceso al disco para realizar una exploración fuera de línea completa, pero este es un plan muy deficiente.
¿Hay alguna herramienta, literatura o noticias que puedan mejorar esta investigación y las probabilidades de encontrar el origen de este ataque?
Ya tengo algunas cosas para señalar el problema de raíz:
* Problemas de la sucursal: el usuario no debería haber tenido privilegios de administrador. La PC ya debería ser W10, por lo tanto, para la instalación de AV.
* Problemas de administración: (tal vez) - Configuración de la Política de punto final relajada.
Pero quiero encontrar la fuente fuera de ella. ¿Nube compartes tus pensamientos sobre esto?
BR;
Ezeq