این روزها مجرمان سایبری برزیلی به بیت‌کوین علاقه‌مند شده‌اند. آن‌ها به منظور پیوستن به گروه فیشرهای این پول مجازی، بهترین شیوه‌های مخرب خود را به کار بسته‌اند: PAC مخرب در حملات وب و دامنه‌های فیشینگ.
پایگاه اطلاع‌رسانی پلیس فتا: استفاده‌ی مخرب از PAC در میان نفوذگران برزیلی اتفاق جدیدی نیست. پیش‌تر در سال ۲۰۰۷ نیز در مورد آن شنیده بودیم. در حالت کلی این نوع اسکریپت‌های مخرب به منظور هدایت اتصالات شخص قربانی به یک صفحه‌ی فیشینگ بانکی، کارت اعتباری و از این دست موارد استفاده می‌شود. در سال ۲۰۱۲ یک تروجان بانکی روسی به نام Capper از همین شیوه استفاده می‌نمود. زمانی که این بدافزار از حملات بارگیری ناخواسته استفاده می‌کند، موثرتر خواهد بود.
پس از ثبت دامنه‌ی java7update.com، مجرمان برزیلی حمله به چندین وب‌گاه را آغاز کرده و iFrame مخرب را در صفحات در معرض خطر تزریق نمودند:
 
این iFrame اپلت مخرب جاوایی را بار می‌کند که برای تغییر پیکربندی پروکسی در مرورگرهای وب همچون IE و فایرفاکس تنظیم شده است. نشانی وب مورد استفاده در این حمله به پرونده‌ای به نام update.pac اشاره دارد:
 
در تلاشی برای فرار از شناسایی بر اساس امضا، این اسکریپت از الحاقاتی استفاده می‌کند:
 
توجه داشته باشید که در میان وب‌گاه‌های بانکی بزریل و شرکت‌های کارت‌های اعتباری که توسط این اسکرپیت هدف قرار گرفتند، دامنه‌ای با نام mtgox.com وجود دارد؛ دامنه‌ی بزرگ‌ترین مرکز مبادلات بیت‌کوین که به طور گسترده در بازار تبادل ارز استفاده می‌شود. همچنین تغییر مسیری به دامنه‌ی mtgox.com.br وجود دارد که در برزیل واقع نشده است؛ اما در رایانه‌ی آلوده برگردانده شده و به صفحه‌ی فیشینگی اشاره دارد:
در یک رایانه‌ی عاری از بدافزار، دسترسی به دامنه‌ی mtgox.com.br صفحه‌ی زیر را به نمایش می‌گذارد:
 
هدف این حمله‌ی بدافزاری مشخص است؛ تغییر مسیر به یک صفحه‌ی جعلی mtgox.com تا اطلاعات محرمانه و متعاقباً بیت‌کوین‌ها را سرقت کند. این یکی از صفحات جعلی است که در این حمله استفاده شده است.
اگر یکی از بازدیدکنندگان mtgox.com هستید، توصیه می‌کنیم احراز هویت دو مرحله‌ای را در حساب کاربری خود فعال کنید تا قربانی چنین حملاتی نباشید.
شایان ذکر است که این PAC مخرب به عنوان Trojan.JS.Redirector.za شناسایی شده است.