Selon BleepingComputer (Lawrence Abrams), une campagne d’arnaque exploite les commentaires Pastebin pour diffuser une variante ClickFix qui incite les utilisateurs de cryptomonnaies à exécuter du JavaScript dans leur navigateur, permettant de détourner des transactions Bitcoin sur le service d’échange Swapzone.io.

Les attaquants laissent des commentaires sur Pastebin vantant une supposée « fuite » promettant jusqu’à 13 000 $ en deux jours via un pseudo exploit d’arbitrage entre Swapzone.io et ChangeNOW. Le lien mène à une page Google Docs intitulée « Swapzone.io – ChangeNOW Profit Method » décrivant une méthode factice exploitant un « ancien nœud backend » (v1.9) pour obtenir ~38 % de gains supplémentaires.

Le faux guide instruit les victimes à visiter paste[.]sh pour copier un snippet JavaScript, puis à retourner sur l’onglet Swapzone.io, taper javascript: dans la barre d’adresse et coller le code. Ce premier script charge un second payload depuis https://rawtext[.]host/raw?btulo3, injecté dans la page Swapzone et remplaçant le script Next.js légitime de gestion des swaps.

Le script malveillant insère des adresses Bitcoin de l’attaquant à la place de l’adresse de dépôt légitime et modifie les taux et valeurs affichés pour faire croire que l’arbitrage fonctionne. Comme les transactions Bitcoin sont irréversibles, les fonds envoyés sont perdus.

IOCs (indicateurs):

  • paste[.]sh (snippet JavaScript de 1er étage)
  • rawtext[.]host (payload secondaire) — chemin cité: /raw?btulo3
  • Commentaires malveillants sur pastebin[.]com

TTPs (techniques, tactiques et procédures):

  • Ingénierie sociale via commentaires Pastebin et promesse de profits (« 13 000 $ en 2 jours »)
  • Abus du schéma d’URI javascript: pour exécuter du code dans le contexte du site cible
  • Injection de code et remplacement du script Next.js côté client
  • Substitution d’adresse de dépôt BTC et falsification des taux/valeurs affichés
  • Hébergement des charges utiles sur paste[.]sh et rawtext[.]host

Type d’article: article de presse spécialisé d’analyse de menace visant à décrire une campagne ClickFix en JavaScript et son mode opératoire.

🧠 TTPs et IOCs détectés

TTP

[‘Ingénierie sociale via commentaires Pastebin et promesse de profits’, ‘Abus du schéma d’URI javascript: pour exécuter du code dans le contexte du site cible’, ‘Injection de code et remplacement du script Next.js côté client’, ‘Substitution d’adresse de dépôt BTC et falsification des taux/valeurs affichés’, ‘Hébergement des charges utiles sur paste[.]sh et rawtext[.]host’]

IOC

[‘paste[.]sh’, ‘rawtext[.]host/raw?btulo3’, ‘pastebin[.]com’]

🔗 Source originale : https://www.bleepingcomputer.com/news/security/pastebin-comments-push-clickfix-javascript-attack-to-hijack-crypto-swaps/