Recentemente abbiamo avuto un incidente in cui l'autenticazione a due fattori era abilitata su un account Gmail ma l'account stava inviando messaggi spam. L'attività di accesso al dispositivo non mostra dispositivi anomali che accedono all'account. È corretto presumere che ci sia un pezzo di malware su uno dei Mac che accede all'account?
Qual è il modo migliore per cercare in modo forense il modo in cui il malware è entrato nella macchina? Quali file di registro dovrei controllare per individuare il punto di ingresso?
Tutte le idee sono benvenute.