Statik Analiz — ClipboardClipper | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 52d0af7da3a82b2ee3017d4d89c3947d59138e1fc2e2d25d92d9f25cd857aebf |
|---|---|
| Boyut | 1,826,304 byte (PE32 console Intel 80386, 7 sections) |
| Entropi | 7.703 (probably packed — yüksek) |
| DOS Stub | Suspicious (değiştirilmiş anti-disasm) |
| TLS | TLS directory mevcut, fonksiyon yok |
AddClipboardFormatListener: Pano Dinleme
CLIPBOARD HOOK: Kripto adresi değiştirme API'si tespit edildi!
USER32.dll → AddClipboardFormatListener
-- AddClipboardFormatListener: pano değişikliklerini dinleme API'si
- Her clipboard değişikliğinde WM_CLIPBOARDUPDATE mesajı alınır
- Kullanım:
1. Crypto clipper: Bitcoin/ETH adresi panoya kopyalandığında tespiti yap
2. Adres pattern match: "1" ile başlayan 26-34 karakter = Bitcoin
3. Kendi cüzdan adresinle değiştir
4. Kullanıcı yapıştırıldığında farklı adrese gönderir
-- Tespit döngüsü:
1. AddClipboardFormatListener(hwnd) → kayıt ol
2. WndProc: WM_CLIPBOARDUPDATE mesajını yakala
3. OpenClipboard + GetClipboardData(CF_UNICODETEXT) → oku
4. Regex match: Bitcoin/ETH/TRC20 address pattern
5. EmptyClipboard + SetClipboardData → kendi adresi yaz
6. CloseClipboard
-- Hedef kripto adresleri (pattern):
Bitcoin: [13][a-km-zA-HJ-NP-Z1-9]{25,34}
Ethereum: 0x[a-fA-F0-9]{40}
TRON: T[A-Za-z1-9]{33}
Yüksek Entropi + Suspicious DOS Stub
Entropi: 7.703 (probably packed) DOS stub: suspicious TLS directory: found (no functions) -- 7.70 entropi: binary şifrelenmiş veya paketlenmiş → Clipper kodu decryption routine ile gizlenmiş -- Suspicious DOS stub: normal stub yerine özel kod → anti-disassembly veya kod gizleme aracı -- TLS (Thread Local Storage): genellikle: 1. Anti-debug: TLS callback'de debugger tespiti 2. İlk initialization kodu çalıştırma → Bu örnekte "no functions": placeholder, gelecek versiyonlarda aktif
IOC
| SHA256 | 52d0af7da3a82b2ee3017d4d89c3947d59138e1fc2e2d25d92d9f25cd857aebf |
|---|---|
| API | AddClipboardFormatListener (USER32.dll) |
| Entropi | 7.703 (packed — içerik gizli) |
ClipboardClipper — Malware Profile
PE32 clipboard hijacker. AddClipboardFormatListener API for clipboard monitoring. Crypto address swapping (Bitcoin/ETH/TRC20). High entropy (7.703) packed payload. Suspicious DOS stub. TLS directory. Console application.
Malware Type
Infostealer
Programming Language
C/C++
C2 Protocol
Local
Target Systems
Küresel
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — ClipboardClipper
# SHA256
52d0af7da3a82b2ee3017d4d89c3947d59138e1fc2e2d25d92d9f25cd857aebf
| Type | Value | Note |
|---|---|---|
| sha256 | 52d0af7da3a82b2ee3017d4d89c3947d59138e1fc2e2d25d92d9f25cd857aebf |