Manuel Statik Analiz (LLM Okumali) — Laplas Clipper | Tehdit: YUKSEK

파일 Kimligi

SHA2563e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
크기8.192 byte — minimal clipper
Platform.NET (C# — k__BackingField compiler output)
String Sayisi172

Teknik Mekanizma

Laplas Clipper, clipboard (pano) icindeki kripto cuzdan adreslerini regex ile tespit edip saldirganin kendi cuzdan adresiyle degistiren bir .NET uygulamasidir.
Strings bulunanlari:
  _runMutex           -- Tek ornek mutex (process sentinel)
  Clipboard           -- System.Windows.Forms.Clipboard API
  AddressRegex        -- Wallet adres regex paterni
  AddressEvaluator    -- Regex callback fonksiyonu
  GetAddress          -- Clipboard adresi okuma metodu
  set_AddressRegex    -- Regex atama property
  Replace             -- String.Replace ile degistirme
  address             -- Genel adres referanslari

Clipper Akisi

  1. Proses baslatilir, _runMutex ile tek ornek saglanir
  2. Clipboard degisikliklerini izler (WM_CLIPBOARDUPDATE veya timer)
  3. AddressRegex ile BTC/ETH/USDT/TRX/SOL adres paterni aranir
  4. AddressEvaluator ile regex eslesmesi cagrilir
  5. Eslesen adres saldirganin hardcoded cuzdan adresiyle degistirilir

Hedef Kripto Para Birimleri

Laplas Clipper, piyasadaki en kapsamli clipper servislerinden biridir. BTC, ETH, BNB, XMR, LTC, DOGE, SOL, TRX, USDT (TRC20/ERC20/BEP20), XRP, ADA ve 50+ kripto para adres formatini destekler.

Laplas Hakkinda

Laplas Clipper, 2022 yilinda underground forumlarda satisa sunulan bir MaaS hizmetidir. Panel uzerinden konfigure edilir; her musteri farkli hedef cuzdan adresleri ile ayarlanmis instance alir. .NET ile yazilmistir, minimal boyutu (8KB) sayesinde diger malware ailelerinin payload'una kolayca eklenir.

IOC

SHA2563e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
Mutex_runMutex
TeknikRegex tabanlı clipboard hijacking
Platform.NET (C#)

LaplasClipper — 악성코드 프로필

LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.

악성코드 유형
Other
프로그래밍 언어
C#/.NET
C2 프로토콜
C2 Panel + Clipboard
대상 시스템
Kuresel — Kripto Yatirimcilari

기능 및 동작

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC 목록 (1 개 지표)

IOC — LaplasClipper
# SHA256 3e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
유형메모
sha256 3e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce

C2 서버 (이 패밀리에 대해 2개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
clipper.guru domain 443 HTTPS inactive —
clipper.guru domain 443 HTTPS inactive —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
laplas-clipperclipboard-hijackerkripto-cuzdannetaddress-regexmutex