Manuel Statik Analiz — Laplas Clipper | Tehdit: MITTEL
Datei Kimliği
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a |
|---|---|
| Größe | 8.192 byte (8KB — inanılmaz derecede küçük!) |
| String Sayisi | 172 (yoğun obfuskasyon) |
C2 Domain: clipper.guru
Aktif C2: clipper.guru — Laplas Clipper altyapısı!
clipper.guru -- Doğrudan araç adını içeren domain: "clipper" + ".guru" TLD -- Laplas Clipper'ın bilinen komuta-kontrol sunucusu -- Pano adres eşleştirme tablosu buradan güncellenir -- Saldırgan kripto cüzdan adreslerini buradan yönetir
Clipboard Hijacking Mekanizması
_runMutex -- tek örnek çalışma mutex'i Mutex -- global mutex referansı -- Clipboard değişiklik bildirimi ile tetiklenir -- BTC/ETH/LTC/XMR adresleri panoda tespit edilir -- Saldırganın adresle anlık değiştirme yapılır -- Kurban aynı parayı yanlış adrese gönderir!
Laplas Clipper Hakkında
Laplas Clipper 2022'de ortaya çıkan .NET tabanlı pano korsanıdır. Clipper abonelik modeli: $49/ay, $79/3ay, $99/6ay. 100+ kripto para birimi destekler: BTC, ETH, XMR, USDT, LTC, DOGE, BNB, SOL, XRP. Panel üzerinden saldırgan adreslerini yönetir. Telegram botu ile bildiri alır.
IOC
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a |
|---|---|
| C2 | clipper.guru |
| Mutex | _runMutex |
LaplasClipper — Malware-Profil
LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.
Malware-Typ
Other
Programmiersprache
C#/.NET
C2-Protokoll
C2 Panel + Clipboard
Zielsysteme
Kuresel — Kripto Yatirimcilari
Fähigkeiten & Verhalten
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC-Liste (1 Indikatoren)
IOC — LaplasClipper
# SHA256
3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a | len=63 |
C2-Server (2 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| clipper.guru | domain | 443 | HTTPS | inactive | — |
| clipper.guru | domain | 443 | HTTPS | inactive | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.