Μια εξελιγμένη εκστρατεία spam βρίσκεται σε εξέλιξη, η οποία εκμεταλλεύεται τις αξιόπιστες υποδομές του Atlassian Cloud. Οι επιτιθέμενοι χρησιμοποιούν νόμιμες λειτουργίες της πλατφόρμας (όπως το Jira Cloud) για να παρακάμψουν τους παραδοσιακούς ελέγχους ασφαλείας των email και να προωθήσουν στους χρήστες δόλια επενδυτικά σχήματα.
Η δραστηριότητα αυτή κορυφώθηκε μεταξύ Δεκεμβρίου 2025 και Ιανουαρίου 2026, στοχεύοντας κυρίως κυβερνητικούς και εταιρικούς φορείς παγκοσμίως.
Πώς λειτουργεί η επίθεση
Οι επιτιθέμενοι εκμεταλλεύονται την εμπιστοσύνη που δείχνουν τα φίλτρα ασφαλείας σε μεγάλους παρόχους λογισμικού (SaaS). Η διαδικασία περιλαμβάνει τα εξής βήματα:
- Δημιουργία υποδομής: Οι δράστες δημιουργούν πολλούς δοκιμαστικούς λογαριασμούς (Atlassian instances) με τυχαία ονόματα. Επειδή η Atlassian δεν απαιτεί επαλήθευση ιδιοκτησίας τομέα (domain) για αυτά τα instances, οι επιτιθέμενοι αποκτούν γρήγορα πρόσβαση σε νόμιμες διευθύνσεις IP της AWS.
- Χρήση αυτοματισμών: Μέσω του Jira Automation, δημιουργούν και αποστέλλουν προσαρμοσμένα μηνύματα απευθείας από το σύστημα email της Atlassian. Αυτό διασφαλίζει ότι τα μηνύματα περνούν τους ελέγχους αυθεντικότητας (SPF και DKIM).
- Στοχευμένο περιεχόμενο: Τα μηνύματα δεν είναι γενικά, αλλά μεταφρασμένα και προσαρμοσμένα σε διάφορες γλώσσες (Αγγλικά, Γαλλικά, Γερμανικά, Ιταλικά, Πορτογαλικά και Ρωσικά) για να φαίνονται πιο πειστικά.
Ο στόχος της απάτης
Τα email ανακατευθύνουν τους στόχους σε κακόβουλες σελίδες προορισμού (landing pages) μέσω συστημάτων TDS (Traffic Distribution System), όπως το Keitaro. Εκεί, οι χρήστες έρχονται αντιμέτωποι με:
- Ψεύτικα επενδυτικά σχήματα που υπόσχονται υψηλά κέρδη.
- Παράνομες διαφημίσεις και απάτες με σκοπό την απόσπαση χρημάτων ή προσωπικών δεδομένων.
- Συστάσεις για οργανισμούς και χρήστες
Η έρευνα της Trend Micro υπογραμμίζει ότι οι οργανισμοί πρέπει να επανεκτιμήσουν την τυφλή εμπιστοσύνη στα emails που προέρχονται από τρίτους παρόχους cloud.