脅威アクターが Pastebin のコメントを利用して、Swapzone.io で悪意ある JavaScript を実行させる詐欺を推進しており、Bitcoin 取引を乗っ取っています。この攻撃は ClickFix 手法の変種で、攻撃者制御のウォレットへ資金をリダイレクトしつつ、正当なアービトラージ利益を模倣します。これは暗号資産取引所を標的としたブラウザベースの ClickFix の初の既知事例のようです。
2026 年 2 月 15 日、BleepingComputer は、攻撃者がさまざまな Pastebin エントリにコメントを投稿し、Swapzone.io のアービトラージの欠陥により 2 日で 13,000 ドルを稼ぐ「漏洩したエクスプロイト文書」を共有すると主張するキャンペーンを報告しました。これらのコメントは rawtext[.]host の URL にリンクし、「Swapzone.io – ChangeNOW Profit Method」という Google Docs ページにリダイレクトします。このドキュメントは、Swapzone の API を介して接続された ChangeNOW の古いバックエンドノードを悪用すると偽って説明しています。 ガイドは次のように引用:「ChangeNOW はまだ古いバックエンドノードを Swapzone パートナー API に接続しています。直接の ChangeNOW では、このノードはパブリックスワップに使用されていません。」さらに主張:「しかし、Swapzone を通じてアクセスすると、特定の BTC ペアのレート計算が Node v1.9 を経由します。この古いノードは BTC から ANY への変換式が異なり、予定より約 38% 高い支払いとなります。」 被害者は paste[.]sh を訪れ、JavaScript のスニペットをコピーし、Swapzone.io に戻ってブラウザのアドレスバーに「javascript:」とコードを入力して Enter を押すよう指示されます。これはブラウザの 'javascript:' URI を利用してロードされたページ上でスクリプトを実行します。 解析の結果、スクリプトは https://rawtext[.]host/raw?btulo3 から難読化されたペイロードをロードし、Swapzone の Next.js インターフェースに注入します。正当な入金アドレスを攻撃者制御の Bitcoin ウォレットに置き換え、表示される交換レートを約束された利益をシミュレートするよう変更します。ユーザーは通常のインターフェースを見ますが、資金を詐欺師に送金します。 この詐欺は、通常 OS コマンドを実行してマルウェアをインストールする ClickFix 攻撃を、ブラウザ中心の方法に適応させたもので、暗号スワップを傍受します。Bitcoin 取引は不可逆のため、影響を受けたユーザーに簡単な回復オプションはありません。キャンペーンは過去 1 週間以上活発で、文書には同時に 1 から 5 人の閲覧者が表示されています。
