Manuel Statik Analiz (LLM Okumali) — Laplas Clipper | Tehdit: YUKSEK

Dosya Kimligi

SHA2563e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
Boyut8.192 byte — minimal clipper
Platform.NET (C# — k__BackingField compiler output)
String Sayisi172

Teknik Mekanizma

Laplas Clipper, clipboard (pano) icindeki kripto cuzdan adreslerini regex ile tespit edip saldirganin kendi cuzdan adresiyle degistiren bir .NET uygulamasidir.
Strings bulunanlari:
  _runMutex           -- Tek ornek mutex (process sentinel)
  Clipboard           -- System.Windows.Forms.Clipboard API
  AddressRegex        -- Wallet adres regex paterni
  AddressEvaluator    -- Regex callback fonksiyonu
  GetAddress          -- Clipboard adresi okuma metodu
  set_AddressRegex    -- Regex atama property
  Replace             -- String.Replace ile degistirme
  address             -- Genel adres referanslari

Clipper Akisi

  1. Proses baslatilir, _runMutex ile tek ornek saglanir
  2. Clipboard degisikliklerini izler (WM_CLIPBOARDUPDATE veya timer)
  3. AddressRegex ile BTC/ETH/USDT/TRX/SOL adres paterni aranir
  4. AddressEvaluator ile regex eslesmesi cagrilir
  5. Eslesen adres saldirganin hardcoded cuzdan adresiyle degistirilir

Hedef Kripto Para Birimleri

Laplas Clipper, piyasadaki en kapsamli clipper servislerinden biridir. BTC, ETH, BNB, XMR, LTC, DOGE, SOL, TRX, USDT (TRC20/ERC20/BEP20), XRP, ADA ve 50+ kripto para adres formatini destekler.

Laplas Hakkinda

Laplas Clipper, 2022 yilinda underground forumlarda satisa sunulan bir MaaS hizmetidir. Panel uzerinden konfigure edilir; her musteri farkli hedef cuzdan adresleri ile ayarlanmis instance alir. .NET ile yazilmistir, minimal boyutu (8KB) sayesinde diger malware ailelerinin payload'una kolayca eklenir.

IOC

SHA2563e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
Mutex_runMutex
TeknikRegex tabanlı clipboard hijacking
Platform.NET (C#)

LaplasClipper — Malware Profile

LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.

Malware Type
Other
Programming Language
C#/.NET
C2 Protocol
C2 Panel + Clipboard
Target Systems
Kuresel — Kripto Yatirimcilari

Capabilities & Behavior

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC List (1 indicators)

IOC — LaplasClipper
# SHA256 3e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
TypeValueNote
sha256 3e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce

C2 Servers (2 recorded servers for this family)

Address Type Port Protocol Status Country
clipper.guru domain 443 HTTPS inactive —
clipper.guru domain 443 HTTPS inactive —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
laplas-clipperclipboard-hijackerkripto-cuzdannetaddress-regexmutex