Los actores de amenazas están utilizando comentarios en Pastebin para promover una estafa que engaña a los usuarios de criptomonedas para que ejecuten JavaScript malicioso en Swapzone.io, secuestrando transacciones de Bitcoin. El ataque, una variante de las técnicas ClickFix, redirige fondos a billeteras controladas por los atacantes mientras simula ganancias legítimas por arbitraje. Esta parece ser la primera instancia conocida de un ClickFix basado en navegador dirigido a exchanges de cripto.
El 15 de febrero de 2026, BleepingComputer informó de una campaña en la que los atacantes publican comentarios en varias entradas de Pastebin, afirmando compartir «documentación de exploits filtrados» para ganar 13.000 dólares en dos días mediante una supuesta falla de arbitraje en Swapzone.io. Estos comentarios enlazan a una URL en rawtext[.]host, que redirige a una página de Google Docs titulada «Swapzone.io – ChangeNOW Profit Method». El documento describe falsamente la explotación de un nodo backend obsoleto en ChangeNOW, conectado a través de la API de Swapzone. El guía cita: «ChangeNOW aún tiene un nodo backend antiguo conectado a la API de socios de Swapzone. En ChangeNOW directo, este nodo ya no se usa para swaps públicos». Afirma además: «Sin embargo, cuando se accede a través de Swapzone, el cálculo de tasas pasa por el Node v1.9 para ciertos pares BTC. Este nodo antiguo aplica una fórmula de conversión diferente para BTC a ANY, lo que resulta en pagos ~38% más altos de lo previsto». Las víctimas reciben instrucciones para visitar paste[.]sh, copiar un fragmento de JavaScript, regresar a Swapzone.io y ejecutarlo escribiendo «javascript:» en la barra de direcciones del navegador seguido del código, y luego presionar Enter. Esto aprovecha el URI 'javascript:' del navegador para ejecutar el script en la página cargada. El análisis revela que el script carga una carga útil ofuscada desde https://rawtext[.]host/raw?btulo3, que se inyecta en la interfaz Next.js de Swapzone. Reemplaza las direcciones de depósito legítimas con billeteras Bitcoin controladas por los atacantes y altera las tasas de cambio mostradas para simular las ganancias prometidas. Los usuarios ven una interfaz normal pero envían fondos a estafadores. Esta estafa adapta ataques ClickFix —típicamente usados para ejecutar comandos del SO e instalar malware— a un método centrado en el navegador para interceptar swaps cripto. Dado que las transacciones de Bitcoin son irreversibles, los usuarios afectados no tienen opciones de recuperación sencillas. La campaña ha estado activa durante la semana pasada, con documentos mostrando de 1 a 5 espectadores a la vez.
