ممثلو التهديدات يسيئون استخدام Pastebin في عملية احتيال ClickFix على تبادلات العملات المشفرة

في 15 فبراير 2026، أفادت BleepingComputer بحملة ينشر فيها المهاجمون تعليقات على مدخلات مختلفة في Pastebin، مدعين مشاركة «وثائق استغلال مسربة» لكسب 13,000 دولار في يومين من خلال خلل تحكيم مزعوم على Swapzone.io. ترتبط هذه التعليقات برابط URL على rawtext[.]host، الذي يعيد التوجيه إلى صفحة Google Docs بعنوان «Swapzone.io – ChangeNOW Profit Method». يصف الوثيقة بشكل كاذب استغلال عقدة خلفية قديمة في ChangeNOW، المتصلة عبر API Swapzone.  يقتبس الدليل: «لا يزال ChangeNOW يحتوي على عقدة خلفية أقدم متصلة بـ API شركاء Swapzone. في ChangeNOW المباشر، لا يُستخدم هذا العقدة بعد للتبادلات العامة». ويزعم أيضًا: «ومع ذلك، عند الوصول عبر Swapzone، يمر حساب السعر عبر Node v1.9 لبعض أزواج BTC. هذه العقدة القديمة تطبق صيغة تحويل مختلفة لـ BTC إلى ANY، مما يؤدي إلى دفعات أعلى بنسبة ~38% من المقصود».  يُطلب من الضحايا زيارة paste[.]sh، نسخ مقتطف JavaScript، العودة إلى Swapzone.io، وتنفيذه بكتابة «javascript:» في شريط عنوان المتصفح متبوعًا بالكود، ثم الضغط على Enter. يستفيد هذا من URI 'javascript:' في المتصفح لتشغيل البرنامج النصي على الصفحة المحملة.  يكشف التحليل أن البرنامج النصي يحمل حمولة مشفرة من https://rawtext[.]host/raw?btulo3، والتي تُحقن في واجهة Next.js الخاصة بـ Swapzone. يستبدل عناوين الإيداع الشرعية بمحافظ بيتكوين يسيطر عليها المهاجمون ويعدل أسعار الصرف المعروضة لمحاكاة الأرباح الموعودة. يرى المستخدمون واجهة طبيعية لكنهم يرسلون الأموال إلى المحتالين.  تقوم هذه الاحتيال بتكييف هجمات ClickFix —التي تُستخدم عادة لتشغيل أوامر النظام لتثبيت البرمجيات الضارة— إلى طريقة تركز على المتصفح لاعتراض تبادلات العملات المشفرة. بما أن معاملات البيتكوين غير قابلة للعكس، لا يوجد لدى المستخدمين المتضررين خيارات استرداد مباشرة. الحملة نشطة منذ أكثر من أسبوع، مع وثائق تظهر 1 إلى 5 مشاهدين في وقت واحد.