Manuel Statik Analiz — Laplas Clipper | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a |
|---|---|
| Boyut | 8.192 byte (8KB — inanılmaz derecede küçük!) |
| String Sayisi | 172 (yoğun obfuskasyon) |
C2 Domain: clipper.guru
Aktif C2: clipper.guru — Laplas Clipper altyapısı!
clipper.guru -- Doğrudan araç adını içeren domain: "clipper" + ".guru" TLD -- Laplas Clipper'ın bilinen komuta-kontrol sunucusu -- Pano adres eşleştirme tablosu buradan güncellenir -- Saldırgan kripto cüzdan adreslerini buradan yönetir
Clipboard Hijacking Mekanizması
_runMutex -- tek örnek çalışma mutex'i Mutex -- global mutex referansı -- Clipboard değişiklik bildirimi ile tetiklenir -- BTC/ETH/LTC/XMR adresleri panoda tespit edilir -- Saldırganın adresle anlık değiştirme yapılır -- Kurban aynı parayı yanlış adrese gönderir!
Laplas Clipper Hakkında
Laplas Clipper 2022'de ortaya çıkan .NET tabanlı pano korsanıdır. Clipper abonelik modeli: $49/ay, $79/3ay, $99/6ay. 100+ kripto para birimi destekler: BTC, ETH, XMR, USDT, LTC, DOGE, BNB, SOL, XRP. Panel üzerinden saldırgan adreslerini yönetir. Telegram botu ile bildiri alır.
IOC
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a |
|---|---|
| C2 | clipper.guru |
| Mutex | _runMutex |
LaplasClipper — Malware Profile
LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.
Malware Type
Other
Programming Language
C#/.NET
C2 Protocol
C2 Panel + Clipboard
Target Systems
Kuresel — Kripto Yatirimcilari
Capabilities & Behavior
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC List (1 indicators)
IOC — LaplasClipper
# SHA256
3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a
| Type | Value | Note |
|---|---|---|
| sha256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0a | len=63 |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| clipper.guru | domain | 443 | HTTPS | inactive | — |
| clipper.guru | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.