Manuel Statik Analiz (LLM Okumali) — Laplas Clipper | Tehdit: YUKSEK

Fichier Kimligi

SHA2563e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
Taille8.192 byte — minimal clipper
Platform.NET (C# — k__BackingField compiler output)
String Sayisi172

Teknik Mekanizma

Laplas Clipper, clipboard (pano) icindeki kripto cuzdan adreslerini regex ile tespit edip saldirganin kendi cuzdan adresiyle degistiren bir .NET uygulamasidir.
Strings bulunanlari:
  _runMutex           -- Tek ornek mutex (process sentinel)
  Clipboard           -- System.Windows.Forms.Clipboard API
  AddressRegex        -- Wallet adres regex paterni
  AddressEvaluator    -- Regex callback fonksiyonu
  GetAddress          -- Clipboard adresi okuma metodu
  set_AddressRegex    -- Regex atama property
  Replace             -- String.Replace ile degistirme
  address             -- Genel adres referanslari

Clipper Akisi

  1. Proses baslatilir, _runMutex ile tek ornek saglanir
  2. Clipboard degisikliklerini izler (WM_CLIPBOARDUPDATE veya timer)
  3. AddressRegex ile BTC/ETH/USDT/TRX/SOL adres paterni aranir
  4. AddressEvaluator ile regex eslesmesi cagrilir
  5. Eslesen adres saldirganin hardcoded cuzdan adresiyle degistirilir

Hedef Kripto Para Birimleri

Laplas Clipper, piyasadaki en kapsamli clipper servislerinden biridir. BTC, ETH, BNB, XMR, LTC, DOGE, SOL, TRX, USDT (TRC20/ERC20/BEP20), XRP, ADA ve 50+ kripto para adres formatini destekler.

Laplas Hakkinda

Laplas Clipper, 2022 yilinda underground forumlarda satisa sunulan bir MaaS hizmetidir. Panel uzerinden konfigure edilir; her musteri farkli hedef cuzdan adresleri ile ayarlanmis instance alir. .NET ile yazilmistir, minimal boyutu (8KB) sayesinde diger malware ailelerinin payload'una kolayca eklenir.

IOC

SHA2563e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
Mutex_runMutex
TeknikRegex tabanlı clipboard hijacking
Platform.NET (C#)

LaplasClipper — Profil du malware

LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.

Type de malware
Other
Langage de programmation
C#/.NET
Protocole C2
C2 Panel + Clipboard
Systèmes ciblés
Kuresel — Kripto Yatirimcilari

Capacités et comportement

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

Liste IOC (1 indicateurs)

IOC — LaplasClipper
# SHA256 3e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
TypeValeurNote
sha256 3e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce

Serveurs C2 (2 serveurs enregistrés pour cette famille)

Adresse Type Port Protocole Statut Pays
clipper.guru domain 443 HTTPS inactive —
clipper.guru domain 443 HTTPS inactive —

Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.

Tags
laplas-clipperclipboard-hijackerkripto-cuzdannetaddress-regexmutex