ma chi mi dice che anche il cambio delle credenziali non sia stato spiato senza che un antivirus se ne sia accorto?
Ecco, a quei livelli li parliamo di un rootkit con completo accesso della macchina (quindi keylog, probabilmente anche log dei movimenti del mouse, ecc...)
Possibilissimo soprattutto con macchine windows