Manuel Statik Analiz — Laplas Clipper | Tehdit: ORTA

Dosya Kimliği

SHA2563e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a
Boyut8.192 byte (8KB — inanılmaz derecede küçük!)
String Sayisi172 (yoğun obfuskasyon)

C2 Domain: clipper.guru

Aktif C2: clipper.guru — Laplas Clipper altyapısı!
clipper.guru
-- Doğrudan araç adını içeren domain: "clipper" + ".guru" TLD
-- Laplas Clipper'ın bilinen komuta-kontrol sunucusu
-- Pano adres eşleştirme tablosu buradan güncellenir
-- Saldırgan kripto cüzdan adreslerini buradan yönetir

Clipboard Hijacking Mekanizması

_runMutex  -- tek örnek çalışma mutex'i
Mutex      -- global mutex referansı
-- Clipboard değişiklik bildirimi ile tetiklenir
-- BTC/ETH/LTC/XMR adresleri panoda tespit edilir
-- Saldırganın adresle anlık değiştirme yapılır
-- Kurban aynı parayı yanlış adrese gönderir!

Laplas Clipper Hakkında

Laplas Clipper 2022'de ortaya çıkan .NET tabanlı pano korsanıdır. Clipper abonelik modeli: $49/ay, $79/3ay, $99/6ay. 100+ kripto para birimi destekler: BTC, ETH, XMR, USDT, LTC, DOGE, BNB, SOL, XRP. Panel üzerinden saldırgan adreslerini yönetir. Telegram botu ile bildiri alır.

IOC

SHA2563e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a
C2clipper.guru
Mutex_runMutex

LaplasClipper — Malware Profile

LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.

Malware Type
Other
Programming Language
C#/.NET
C2 Protocol
C2 Panel + Clipboard
Target Systems
Kuresel — Kripto Yatirimcilari

Capabilities & Behavior

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC List (1 indicators)

IOC — LaplasClipper
# SHA256 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a
TypeValueNote
sha256 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a len=63

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
clipper.guru domain 443 HTTPS inactive —
clipper.guru domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
laplas-clipperclipper-guru-c28kb-ultra-tinyrunmutexclipboard-hijackercrypto-address-swaprun-mutex