ممثلو التهديدات يسيئون استخدام Pastebin في عملية احتيال ClickFix على تبادلات العملات المشفرة

العربية

يستخدم ممثلو التهديدات التعليقات على Pastebin للترويج لعملية احتيال تخدع مستخدمي العملات المشفرة لتشغيل JavaScript ضار على Swapzone.io، مما يصيد معاملات البيتكوين. الهجوم، وهو variante من تقنيات ClickFix، يعيد توجيه الأموال إلى محافظ يسيطر عليها المهاجمون مع محاكاة أرباح تحكيم شرعية. يبدو هذا أول حالة معروفة لهجوم ClickFix قائم على المتصفح يستهدف منصات تبادل العملات المشفرة.

في 15 فبراير 2026، أفادت BleepingComputer بحملة ينشر فيها المهاجمون تعليقات على مدخلات مختلفة في Pastebin، مدعين مشاركة «وثائق استغلال مسربة» لكسب 13,000 دولار في يومين من خلال خلل تحكيم مزعوم على Swapzone.io. ترتبط هذه التعليقات برابط URL على rawtext[.]host، الذي يعيد التوجيه إلى صفحة Google Docs بعنوان «Swapzone.io – ChangeNOW Profit Method». يصف الوثيقة بشكل كاذب استغلال عقدة خلفية قديمة في ChangeNOW، المتصلة عبر API Swapzone.  يقتبس الدليل: «لا يزال ChangeNOW يحتوي على عقدة خلفية أقدم متصلة بـ API شركاء Swapzone. في ChangeNOW المباشر، لا يُستخدم هذا العقدة بعد للتبادلات العامة». ويزعم أيضًا: «ومع ذلك، عند الوصول عبر Swapzone، يمر حساب السعر عبر Node v1.9 لبعض أزواج BTC. هذه العقدة القديمة تطبق صيغة تحويل مختلفة لـ BTC إلى ANY، مما يؤدي إلى دفعات أعلى بنسبة ~38% من المقصود».  يُطلب من الضحايا زيارة paste[.]sh، نسخ مقتطف JavaScript، العودة إلى Swapzone.io، وتنفيذه بكتابة «javascript:» في شريط عنوان المتصفح متبوعًا بالكود، ثم الضغط على Enter. يستفيد هذا من URI 'javascript:' في المتصفح لتشغيل البرنامج النصي على الصفحة المحملة.  يكشف التحليل أن البرنامج النصي يحمل حمولة مشفرة من https://rawtext[.]host/raw?btulo3، والتي تُحقن في واجهة Next.js الخاصة بـ Swapzone. يستبدل عناوين الإيداع الشرعية بمحافظ بيتكوين يسيطر عليها المهاجمون ويعدل أسعار الصرف المعروضة لمحاكاة الأرباح الموعودة. يرى المستخدمون واجهة طبيعية لكنهم يرسلون الأموال إلى المحتالين.  تقوم هذه الاحتيال بتكييف هجمات ClickFix —التي تُستخدم عادة لتشغيل أوامر النظام لتثبيت البرمجيات الضارة— إلى طريقة تركز على المتصفح لاعتراض تبادلات العملات المشفرة. بما أن معاملات البيتكوين غير قابلة للعكس، لا يوجد لدى المستخدمين المتضررين خيارات استرداد مباشرة. الحملة نشطة منذ أكثر من أسبوع، مع وثائق تظهر 1 إلى 5 مشاهدين في وقت واحد.

مقالات ذات صلة

Illustration depicting hackers hijacking Linux Snap Store apps to steal cryptocurrency recovery phrases, featuring a compromised Ubuntu laptop and digital seed phrase theft.
صورة مولدة بواسطة الذكاء الاصطناعي

Attackers hijack Linux Snap Store apps to steal crypto phrases

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

Cybercriminals have compromised trusted Linux applications on the Snap Store by seizing expired domains, allowing them to push malware that steals cryptocurrency recovery phrases. Security experts from SlowMist and Ubuntu contributor Alan Pope highlighted the attack, which targets established publisher accounts to distribute malicious updates impersonating popular wallets. Canonical has removed the affected snaps, but calls for stronger safeguards persist.

Researchers identify ClipXDaemon malware targeting Linux cryptocurrency users

Security researchers at Cyble have discovered a new Linux malware called ClipXDaemon, which hijacks cryptocurrency wallet addresses by altering clipboard content on X11-based systems. The malware operates without command-and-control servers, monitoring and replacing addresses in real time to redirect funds to attackers. It uses a multi-stage infection process and employs stealth techniques to evade detection.

Researchers discover SSHStalker botnet infecting Linux servers

من إعداد الذكاء الاصطناعي

Flare researchers have identified a new Linux botnet called SSHStalker that has compromised around 7,000 systems using outdated exploits and SSH scanning. The botnet employs IRC for command-and-control while maintaining dormant persistence without immediate malicious activities like DDoS or cryptomining. It targets legacy Linux kernels, highlighting risks in neglected infrastructure.

فرنسا

Hackers extort French crypto firm Waltio after stealing user data

تكنولوجيا

Hackers hijack .arpa domain for phishing scams

كريبتو

Chainalysis 2026 Crypto Crime Report: Crypto Flows to Human Trafficking Surge 85% in 2025

SSHStalker botnet uses IRC to target Linux servers

A new Linux botnet named SSHStalker is exploiting cloud servers for profit by employing the ancient IRC protocol. It targets Linux servers through automated scans, cron jobs, and IRC communications. The operation revives old-school methods to cut costs, as reported by TechRadar.

Russian hackers exploit Microsoft Office vulnerability days after patch

من إعداد الذكاء الاصطناعي

Russian state-sponsored hackers quickly weaponized a newly patched Microsoft Office flaw to target organizations in nine countries. The group, known as APT28, used spear-phishing emails to install stealthy backdoors in diplomatic, defense, and transport entities. Security researchers at Trellix attributed the attacks with high confidence to this notorious cyber espionage unit.

26 مارس 2026 21:31

Hackers release 93GB of data from crime tips platform

07 مارس 2026 21:02

Fake IT support scam infects company devices with Havoc malware

26 فبراير 2026 01:40

The hacker news publishes weekly threatsday bulletin

23 فبراير 2026 08:01

Malicious npm packages harvest crypto keys and secrets

17 فبراير 2026 02:30

Research uncovers flaws in password managers' zero-knowledge claims

14 فبراير 2026 13:45

Scammers target Trezor and Ledger users with fake mail letters

10 فبراير 2026 19:39

New Linux botnet SSHStalker uses IRC for command-and-control

08 فبراير 2026 16:39

Two teens arrested in alleged $66 million crypto theft attempt

27 يناير 2026 06:48

Zombie domains expose Snap Store to supply chain attacks

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض