Manuel Statik Analiz — LaplasClipper | Tehdit: YUKSEK

Файл Kimliği

SHA2563e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f000
Размер8.192 byte (8KB — çok küçük clipper!)
String Sayisi172

clipper.guru: C2 Domain

C2 TESPİT: Laplas'ın açık C2!
clipper.guru
-- ".guru" = TLD (anlamlı isim seçimi)
-- "clipper" = clipboard hijacker referansı
-- Saldırgan: açık isme sahip domain seçmiş (OPSEC zayıf)
-- Laplas Clipboard Hijacker: kripto cüzdan adresini değiştirir
-- Kurban Bitcoin gönderirken adres değişir → para saldırgana gider

ApiKey + Config Yapısı

Config    -- konfigürasyon bölümü
ApiKey    -- API anahtarı alanı (C2 kimlik doğrulama)
Clipboard -- pano hijack fonksiyonu
_runMutex -- çalışma mutex'i (çifte instance engeli)
f0cd0c3938331a84425c6e784f577ccd87bb667cfdb44cc24
-- 47 karakter hex kimlik → dahili hash/tanımlayıcı
-- Saldırgan paneli: bu hash ile agent takibi yapıyor

Laplas Çalışma Prensibi

1) _runMutex → zaten çalışıyor mu?
2) Config.ApiKey → C2'ye bağlan
3) Clipboard → pano içeriğini izle
4) Kripto adres tespiti (BTC/ETH/TRX/SOL regex)
5) Adres değiştir → saldırganın cüzdanı
6) Kurban: para saldırgana gitti!

IOC

SHA2563e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f000
C2clipper.guru
ConfigApiKey (kimlik doğrulama)

LaplasClipper — Профиль вредоносного ПО

LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.

Тип вредоносного ПО
Other
Язык программирования
C#/.NET
C2 Протокол
C2 Panel + Clipboard
Целевые системы
Kuresel — Kripto Yatirimcilari

Возможности и поведение

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

Список IOC (1 индикаторов)

IOC — LaplasClipper
# SHA256 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f000
ТипЗначениеПримечание
sha256 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f000

C2 Серверы (2 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
clipper.guru domain 443 HTTPS inactive —
clipper.guru domain 443 HTTPS inactive —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
laplas-clipperclipper-guru-c2apikey-config-fieldrunmutexf0cd0c39-hash-idclipboard-hijackercrypto-address-replacement