Manuel Statik Analiz — LaplasClipper | Tehdit: MITTEL
Datei Kimliği
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 |
|---|---|
| Größe | 8.192 byte (8KB!) — anormal derecede küçük! |
| String Sayisi | 172 |
8KB Ultra-Minimal Tasarım
8.192 byte = tam 8 KiB (2^13 bellek hizalaması) -- Sadece clipboard izleme ve adres değiştirme -- Sıfır ağ trafiği = tespit edilmez! -- Şüphe çekmeyen küçük boyut _runMutex -- Tek örnek kontrolü (C# .NET) #GUID -- .NET assembly kimliği
Clipboard Hijacking Mekanizması
LaplasClipper, kripto cüzdan adresi kopyalandığında (Bitcoin, Ethereum vb.) clipboard'daki adresi sessizce operatörün adresiyle değiştirir. Kullanıcı yapıştırınca kendi adresi yerine saldırganın adresi yapıştırılır. Tespit edilmesi çok zordur çünkü görünür işaret yoktur.
IOC
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 |
|---|---|
| Größe | 8.192 byte (8KB ultra-küçük) |
LaplasClipper — Malware-Profil
LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.
Malware-Typ
Other
Programmiersprache
C#/.NET
C2-Protokoll
C2 Panel + Clipboard
Zielsysteme
Kuresel — Kripto Yatirimcilari
Fähigkeiten & Verhalten
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC-Liste (1 Indikatoren)
IOC — LaplasClipper
# SHA256
3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 | len=62 |
C2-Server (2 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| clipper.guru | domain | 443 | HTTPS | inactive | — |
| clipper.guru | domain | 443 | HTTPS | inactive | — |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.