Les acteurs malveillants utilisent des commentaires sur Pastebin pour promouvoir une arnaque qui incite les utilisateurs de cryptomonnaies à exécuter un JavaScript malveillant sur Swapzone.io, détournant les transactions Bitcoin. L'attaque, une variante des techniques ClickFix, redirige les fonds vers des portefeuilles contrôlés par les attaquants tout en simulant des profits d'arbitrage légitimes. Il s'agit apparemment de la première instance connue d'un tel ClickFix basé sur navigateur ciblant des exchanges crypto.
Le 15 février 2026, BleepingComputer a rapporté une campagne où les attaquants publient des commentaires sur diverses entrées Pastebin, prétendant partager une « documentation d'exploits divulguée » pour gagner 13 000 $ en deux jours via une prétendue faille d'arbitrage sur Swapzone.io. Ces commentaires mènent à une URL sur rawtext[.]host, qui redirige vers une page Google Docs intitulée « Swapzone.io – ChangeNOW Profit Method ». Le document décrit à tort l'exploitation d'un nœud backend obsolète sur ChangeNOW, connecté via l'API de Swapzone. Le guide cite : « ChangeNOW dispose encore d'un nœud backend plus ancien connecté à l'API partenaire de Swapzone. Sur ChangeNOW direct, ce nœud n'est plus utilisé pour les swaps publics. » Il affirme ensuite : « Cependant, lorsqu'accédé via Swapzone, le calcul des taux passe par le Node v1.9 pour certains paires BTC. Ce vieux nœud applique une formule de conversion différente pour BTC vers ANY, entraînant des paiements ~38 % plus élevés que prévu. » Les victimes sont invitées à visiter paste[.]sh, copier un extrait JavaScript, retourner sur Swapzone.io et l'exécuter en tapant « javascript: » dans la barre d'adresse du navigateur suivi du code, puis appuyer sur Entrée. Cela exploite l'URI 'javascript:' du navigateur pour exécuter le script sur la page chargée. L'analyse révèle que le script charge une charge utile obfuscée depuis https://rawtext[.]host/raw?btulo3, qui s'injecte dans l'interface Next.js de Swapzone. Il remplace les adresses de dépôt légitimes par des portefeuilles Bitcoin contrôlés par les attaquants et modifie les taux de change affichés pour simuler les profits promis. Les utilisateurs voient une interface normale mais envoient des fonds aux escrocs. Cette arnaque adapte les attaques ClickFix —généralement utilisées pour exécuter des commandes OS afin d'installer des malwares— en une méthode centrée sur le navigateur pour intercepter les swaps crypto. Les transactions Bitcoin étant irréversibles, les utilisateurs touchés n'ont pas d'options de récupération simples. La campagne est active depuis plus d'une semaine, les documents affichant 1 à 5 spectateurs à la fois.
