我的 IT 同事注意到我们工作网络中的一位(非 IT)用户的邮箱中出现了一些奇怪的事情。
在用户的已发送文件夹中,我们发现一堆电子邮件全是中文字符,并且它们被发送到中文电子邮件地址。她没有发送这些邮件,一分钟内发送了 30-40-50 封电子邮件。其中一些电子邮件没有送达,但很多都送达了。
我们已经更改了她的密码,但这种情况仍然发生。我们有 ESET Endpoint Security,并且确实对计算机进行了检查,但没有发现任何东西。
只有一个用户,但看起来她的计算机上的某个程序会定期(不是定期,而是每周一次、两次或每两周一次)同时发送 30-50 封电子邮件。
收件人的电子邮件地址大多是随机字符串,提供商为126.com、yahoo.cn 等。
是否有人知道这可能是什么,或者对下一步该尝试什么或如何调查此事有任何建议?
编辑(在 davidgo 回复之后):感谢您的回复,这听起来不太好。
主要是因为我们几周前才给她买了一台新电脑,她说“这种情况已经持续了一段时间,我每天都在删除这些文件”。她的电子邮件账户也与智能手机同步,所以我们怀疑这可能是她在手机上做的某件事。
我们将几个电子邮件主题放入谷歌翻译中,它们看起来确实像是带有广告的普通垃圾邮件。
更大的问题是,机器和电子邮件帐户在这里扮演着更重要的角色......与“官方团体”的关键通信都是通过它进行的,因此隔离机器是99.99%不可能的,更不用说更改电子邮件地址或任何类似的事情了——除非我能提供确凿的证据证明发生了违规和/或数据盗窃。
在我首次发帖 2 个月后 - 在更改了一些密码等之后 - 这类电子邮件的数量有所减少,但问题似乎仍然存在,至少对于 2 个用户来说是这样(之前是 5 个)。
Spamrl 说:
发送 IP(xxxxxx)被列为字典攻击的来源。
这意味着我们发现来自您 IP 的不存在邮箱的流量与合法投递量相比大幅增加。这是自动发生的,并非由垃圾邮件报告导致。
我截取了 EAC 中显示内容的屏幕截图。这是针对 1 位用户的,底部 7 封电子邮件在一分钟内“发送”,顶部 2 封在几个小时后发送。(主题中的“Olvasatlan”在我的母语中只是“未读”的意思。)
我也不确定我的域名是字典攻击的来源是什么意思。收件人字段中的地址确实看起来像不存在的邮箱,就像 spamrl 消息所暗示的那样,但我不知道接下来该如何进行调查。
还值得注意的是,有时其中一些在主题中显示“已读”。
任何帮助、提示和建议都将不胜感激。
答案1
您所描述的情况似乎具有受感染计算机的特征,该计算机是垃圾邮件僵尸网络的一部分 - 尽管 ESET 并未发现它。
从你所说的情况来看,目标群体是中国人。你也许可以通过翻译一些电子邮件来支持这一理论。
没有简单的方法可以解决这个问题(除了可能擦除她的系统并重新安装它)。您可能想尝试暂时禁用 ESET 并使用其他 AV 扫描仪。此外,您应该尝试 Malwarebytes,因为根据我的经验,它可以找到“严格意义上来说不是病毒”的病毒,这些病毒在所有意图和目的上都是恶意软件,而其他软件则无法找到。为此,请查找她严格意义上不需要的已安装软件 - 比如游戏、工具栏等。
不幸的是,其他任何事情都会变得非常困难。您可以尝试隔离系统,使其不用于任何重要的事情,转储所有往返于它的流量,然后挑选所有往返于它的流量,看看您是否能找到命令服务器。这可能不值得付出努力。