Atores de ameaças estão usando comentários no Pastebin para promover uma fraude que engana usuários de criptomoedas a executar JavaScript malicioso no Swapzone.io, sequestrando transações de Bitcoin. O ataque, uma variante das técnicas ClickFix, redireciona fundos para carteiras controladas pelos atacantes enquanto simula lucros legítimos de arbitragem. Isso parece ser a primeira instância conhecida de um ClickFix baseado em navegador direcionado a exchanges de cripto.
Em 15 de fevereiro de 2026, o BleepingComputer relatou uma campanha em que atacantes postam comentários em várias entradas do Pastebin, alegando compartilhar «documentação de exploits vazada» para ganhar US$ 13.000 em dois dias por meio de uma suposta falha de arbitragem no Swapzone.io. Esses comentários levam a uma URL em rawtext[.]host, que redireciona para uma página do Google Docs intitulada «Swapzone.io – ChangeNOW Profit Method». O documento descreve falsamente a exploração de um nó backend desatualizado no ChangeNOW, conectado via API do Swapzone. O guia cita: «O ChangeNOW ainda tem um nó backend mais antigo conectado à API de parceiros do Swapzone. No ChangeNOW direto, este nó não é mais usado para trocas públicas». Ele ainda afirma: «No entanto, quando acessado pelo Swapzone, o cálculo de taxa passa pelo Node v1.9 para certos pares BTC. Este nó antigo aplica uma fórmula de conversão diferente para BTC para ANY, resultando em pagamentos ~38% mais altos do que o pretendido». As vítimas são instruídas a visitar paste[.]sh, copiar um trecho de JavaScript, retornar ao Swapzone.io e executá-lo digitando «javascript:» na barra de endereço do navegador seguido do código e pressionando Enter. Isso aproveita o URI 'javascript:' do navegador para executar o script na página carregada. A análise revela que o script carrega uma carga útil ofuscada de https://rawtext[.]host/raw?btulo3, que é injetada na interface Next.js do Swapzone. Ele substitui endereços de depósito legítimos por carteiras Bitcoin controladas pelos atacantes e altera as taxas de câmbio exibidas para simular os lucros prometidos. Os usuários veem uma interface normal, mas enviam fundos para golpistas. Essa fraude adapta ataques ClickFix —tipicamente usados para executar comandos do SO para instalação de malware— a um método focado no navegador para interceptar trocas de cripto. Como transações de Bitcoin são irreversíveis, usuários afetados não têm opções de recuperação simples. A campanha está ativa há mais de uma semana, com documentos mostrando 1 a 5 visualizadores por vez.
