Manuel Statik Analiz — LaplasClipper | Tehdit: MOYEN
Fichier Kimliği
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 |
|---|---|
| Taille | 8.192 byte (8KB!) — anormal derecede küçük! |
| String Sayisi | 172 |
8KB Ultra-Minimal Tasarım
8.192 byte = tam 8 KiB (2^13 bellek hizalaması) -- Sadece clipboard izleme ve adres değiştirme -- Sıfır ağ trafiği = tespit edilmez! -- Şüphe çekmeyen küçük boyut _runMutex -- Tek örnek kontrolü (C# .NET) #GUID -- .NET assembly kimliği
Clipboard Hijacking Mekanizması
LaplasClipper, kripto cüzdan adresi kopyalandığında (Bitcoin, Ethereum vb.) clipboard'daki adresi sessizce operatörün adresiyle değiştirir. Kullanıcı yapıştırınca kendi adresi yerine saldırganın adresi yapıştırılır. Tespit edilmesi çok zordur çünkü görünür işaret yoktur.
IOC
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 |
|---|---|
| Taille | 8.192 byte (8KB ultra-küçük) |
LaplasClipper — Profil du malware
LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.
Type de malware
Other
Langage de programmation
C#/.NET
Protocole C2
C2 Panel + Clipboard
Systèmes ciblés
Kuresel — Kripto Yatirimcilari
Capacités et comportement
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
Liste IOC (1 indicateurs)
IOC — LaplasClipper
# SHA256
3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1
| Type | Valeur | Note |
|---|---|---|
| sha256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1 | len=62 |
Serveurs C2 (2 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| clipper.guru | domain | 443 | HTTPS | inactive | — |
| clipper.guru | domain | 443 | HTTPS | inactive | — |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.