Manuel Statik Analiz — LaplasClipper | Tehdit: YUKSEK
파일 Kimliği
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f000 |
|---|---|
| 크기 | 8.192 byte (8KB — çok küçük clipper!) |
| String Sayisi | 172 |
clipper.guru: C2 Domain
C2 TESPİT: Laplas'ın açık C2!
clipper.guru -- ".guru" = TLD (anlamlı isim seçimi) -- "clipper" = clipboard hijacker referansı -- Saldırgan: açık isme sahip domain seçmiş (OPSEC zayıf) -- Laplas Clipboard Hijacker: kripto cüzdan adresini değiştirir -- Kurban Bitcoin gönderirken adres değişir → para saldırgana gider
ApiKey + Config Yapısı
Config -- konfigürasyon bölümü ApiKey -- API anahtarı alanı (C2 kimlik doğrulama) Clipboard -- pano hijack fonksiyonu _runMutex -- çalışma mutex'i (çifte instance engeli) f0cd0c3938331a84425c6e784f577ccd87bb667cfdb44cc24 -- 47 karakter hex kimlik → dahili hash/tanımlayıcı -- Saldırgan paneli: bu hash ile agent takibi yapıyor
Laplas Çalışma Prensibi
1) _runMutex → zaten çalışıyor mu? 2) Config.ApiKey → C2'ye bağlan 3) Clipboard → pano içeriğini izle 4) Kripto adres tespiti (BTC/ETH/TRX/SOL regex) 5) Adres değiştir → saldırganın cüzdanı 6) Kurban: para saldırgana gitti!
IOC
| SHA256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f000 |
|---|---|
| C2 | clipper.guru |
| Config | ApiKey (kimlik doğrulama) |
LaplasClipper — 악성코드 프로필
LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.
악성코드 유형
Other
프로그래밍 언어
C#/.NET
C2 프로토콜
C2 Panel + Clipboard
대상 시스템
Kuresel — Kripto Yatirimcilari
기능 및 동작
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC 목록 (1 개 지표)
IOC — LaplasClipper
# SHA256
3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f000
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 3e41726d0ade4f378192b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f000 |
C2 서버 (이 패밀리에 대해 2개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| clipper.guru | domain | 443 | HTTPS | inactive | — |
| clipper.guru | domain | 443 | HTTPS | inactive | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.