Meus colegas de TI notaram que um usuário (não de TI) em nossa rede de trabalho tem algumas coisas estranhas acontecendo em sua caixa de correio.
Na pasta de envio do usuário, notamos vários e-mails com todos os caracteres chineses e eles foram enviados para endereços de e-mail em chinês. Ela não os enviou e foram enviados 30-40-50 e-mails, tudo em um minuto. Alguns desses e-mails não são entregues, mas muitos são.
Já alteramos a senha dela, mas isso ainda está acontecendo. Temos o ESET Endpoint Security e fizemos uma verificação no computador, mas não encontramos nada.
É apenas um usuário e parece que algo em seu computador envia de 30 a 50 e-mails ao mesmo tempo, periodicamente (não em intervalos regulares, mas algo como uma ou duas vezes por semana ou quinzenalmente).
Os endereços de e-mail dos destinatários são, em sua maioria, sequências aleatórias de caracteres com provedores como 126.com ou yahoo.cn e outros.
Alguém sabe o que pode ser, ou tem alguma sugestão sobre o que tentar a seguir, ou como investigar isso?
EDIT (após a resposta de davidgo): Obrigado pela resposta, isso não parece bom.
Principalmente porque acabamos de fornecer a ela um novo computador algumas semanas atrás, e isso é algo que ela diz "já está acontecendo há um tempo, eu apenas os apago todos os dias". Ela também tem sua conta de e-mail sincronizada com seu smartphone, então suspeitamos que talvez tenha sido algo que ela fez em seu telefone.
Colocamos alguns assuntos de e-mail no Google Tradutor e eles se parecem com o spam comum com anúncios.
O maior problema é que a máquina e a conta de e-mail ainda mais são jogadores importantes aqui ... correspondência crucial com "partes oficiais" é feita nela, então é 99,99% fora de questão isolar a máquina e muito menos mudar o endereço de e-mail ou qualquer coisa do tipo - a menos que eu possa mostrar uma prova definitiva de que houve uma violação e/ou roubo de dados.
Mais de 2 meses após minha postagem inicial - depois de alterar algumas senhas e tal - o número desses e-mails diminuiu, mas o problema parece persistir, pelo menos para 2 usuários (em oposição a 5 anteriores).
Spamrl disse:
O IP de envio (xxxxxx) é listado como uma fonte de ataques de dicionário.
Isso significa que temos visto um tráfego significativo para caixas de correio inexistentes provenientes de seu(s) IP(s), em comparação com entregas legítimas. Isso é automatizado e NÃO é causado por relatórios de spam.
Tirei uma captura de tela do que vejo no EAC. Isso é para 1 usuário, os 7 e-mails inferiores foram "enviados" em um minuto, os 2 principais algumas horas depois. ("Olvasatlan" no assunto significa apenas "não lido" em minha língua nativa.)
Também não tenho certeza do que significa meu domínio ser a FONTE de ataques de dicionário. Os endereços no campo TO parecem caixas de correio inexistentes, como sugere a mensagem spamrl, mas não sei para onde ir a partir daqui com minha investigação.
Vale a pena notar também que às vezes alguns deles mostram "Read" no assunto.
Qualquer ajuda, dicas, sugestões serão apreciadas.
O que você está descrevendo parece ter as características de um computador comprometido que faz parte de uma botnet de spam - apesar de a ESET não ter percebido isso.
Pelo que você diz, parece que o grupo-alvo é chinês. Você pode reforçar essa teoria traduzindo alguns dos e-mails.
Não há uma maneira simples de resolver esse problema (além de possivelmente limpar o sistema e reinstalá-lo). Você pode querer tentar desabilitar temporariamente o ESET e usar alguns outros scanners AV. Além disso, você deve tentar o Malwarebytes, pois, em minha experiência, ele encontra "viri não estritamente falando", que são, para todos os efeitos, malware e que outros softwares perdem. Nesse vão, procure por software instalado que ela não precisa estritamente falando - coisas como jogos, barras de ferramentas etc.
Infelizmente qualquer outra coisa se torna muito difícil. Você pode tentar isolar o sistema para que não seja usado para nada importante, despejar todos os fluxos de tráfego de / para ele e, em seguida, selecionar todo o tráfego enviado de e para ele para ver se consegue encontrar o servidor de comando. Pode não valer a pena o esforço.