Statik Analiz — ClipboardClipper | Tehdit: ORTA

Dosya Kimliği

SHA25652d0af7da3a82b2ee3017d4d89c3947d59138e1fc2e2d25d92d9f25cd857aebf
Boyut1,826,304 byte (PE32 console Intel 80386, 7 sections)
Entropi7.703 (probably packed — yüksek)
DOS StubSuspicious (değiştirilmiş anti-disasm)
TLSTLS directory mevcut, fonksiyon yok

AddClipboardFormatListener: Pano Dinleme

CLIPBOARD HOOK: Kripto adresi değiştirme API'si tespit edildi!
USER32.dll → AddClipboardFormatListener

-- AddClipboardFormatListener: pano değişikliklerini dinleme API'si
  - Her clipboard değişikliğinde WM_CLIPBOARDUPDATE mesajı alınır
  - Kullanım:
    1. Crypto clipper: Bitcoin/ETH adresi panoya kopyalandığında tespiti yap
    2. Adres pattern match: "1" ile başlayan 26-34 karakter = Bitcoin
    3. Kendi cüzdan adresinle değiştir
    4. Kullanıcı yapıştırıldığında farklı adrese gönderir
-- Tespit döngüsü:
  1. AddClipboardFormatListener(hwnd) → kayıt ol
  2. WndProc: WM_CLIPBOARDUPDATE mesajını yakala
  3. OpenClipboard + GetClipboardData(CF_UNICODETEXT) → oku
  4. Regex match: Bitcoin/ETH/TRC20 address pattern
  5. EmptyClipboard + SetClipboardData → kendi adresi yaz
  6. CloseClipboard
-- Hedef kripto adresleri (pattern):
  Bitcoin: [13][a-km-zA-HJ-NP-Z1-9]{25,34}
  Ethereum: 0x[a-fA-F0-9]{40}
  TRON: T[A-Za-z1-9]{33}

Yüksek Entropi + Suspicious DOS Stub

Entropi: 7.703 (probably packed)
DOS stub: suspicious
TLS directory: found (no functions)

-- 7.70 entropi: binary şifrelenmiş veya paketlenmiş
  → Clipper kodu decryption routine ile gizlenmiş
-- Suspicious DOS stub: normal stub yerine özel kod
  → anti-disassembly veya kod gizleme aracı
-- TLS (Thread Local Storage): genellikle:
  1. Anti-debug: TLS callback'de debugger tespiti
  2. İlk initialization kodu çalıştırma
  → Bu örnekte "no functions": placeholder, gelecek versiyonlarda aktif

IOC

SHA25652d0af7da3a82b2ee3017d4d89c3947d59138e1fc2e2d25d92d9f25cd857aebf
APIAddClipboardFormatListener (USER32.dll)
Entropi7.703 (packed — içerik gizli)

ClipboardClipper — Malware Profile

PE32 clipboard hijacker. AddClipboardFormatListener API for clipboard monitoring. Crypto address swapping (Bitcoin/ETH/TRC20). High entropy (7.703) packed payload. Suspicious DOS stub. TLS directory. Console application.

Malware Type
Infostealer
Programming Language
C/C++
C2 Protocol
Local
Target Systems
Küresel

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — ClipboardClipper
# SHA256 52d0af7da3a82b2ee3017d4d89c3947d59138e1fc2e2d25d92d9f25cd857aebf
TypeValueNote
sha256 52d0af7da3a82b2ee3017d4d89c3947d59138e1fc2e2d25d92d9f25cd857aebf
Tags
clipboardclipperclipboard-clipperaddclipboardformatlistener-clipboard-api-hook-listenerpe32-console-x86-clipboard-hijackerhigh-entropy-7-70-packed-payload-hiddendos-stub-suspicious-anti-disassemblytls-callback-no-functions-anti-debugcrypto-address-clipboard-swap-bitcoin