Manuel Statik Analiz — LaplasClipper | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 |
|---|---|
| Boyut | 8.192 byte (8KB!) — anormal derecede küçük! |
| String Sayisi | 172 |
8KB Ultra-Minimal Tasarım
8.192 byte = tam 8 KiB (2^13 bellek hizalaması) -- Sadece clipboard izleme ve adres değiştirme -- Sıfır ağ trafiği = tespit edilmez! -- Şüphe çekmeyen küçük boyut _runMutex -- Tek örnek kontrolü (C# .NET) #GUID -- .NET assembly kimliği
Clipboard Hijacking Mekanizması
LaplasClipper, kripto cüzdan adresi kopyalandığında (Bitcoin, Ethereum vb.) clipboard'daki adresi sessizce operatörün adresiyle değiştirir. Kullanıcı yapıştırınca kendi adresi yerine saldırganın adresi yapıştırılır. Tespit edilmesi çok zordur çünkü görünür işaret yoktur.
IOC
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 |
|---|---|
| Boyut | 8.192 byte (8KB ultra-küçük) |
LaplasClipper — Malware Profile
LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.
Malware Type
Other
Programming Language
C#/.NET
C2 Protocol
C2 Panel + Clipboard
Target Systems
Kuresel — Kripto Yatirimcilari
Capabilities & Behavior
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC List (1 indicators)
IOC — LaplasClipper
# SHA256
3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1
| Type | Value | Note |
|---|---|---|
| sha256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 | len=62 |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| clipper.guru | domain | 443 | HTTPS | inactive | — |
| clipper.guru | domain | 443 | HTTPS | inactive | — |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.