Manuel Statik Analiz (LLM Okumali) — Laplas Clipper | Tehdit: YUKSEK

Dosya Kimligi

SHA2563e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
Boyut8.192 byte — minimal clipper
Platform.NET (C# — k__BackingField compiler output)
String Sayisi172

Teknik Mekanizma

Laplas Clipper, clipboard (pano) icindeki kripto cuzdan adreslerini regex ile tespit edip saldirganin kendi cuzdan adresiyle degistiren bir .NET uygulamasidir.
Strings bulunanlari:
  _runMutex           -- Tek ornek mutex (process sentinel)
  Clipboard           -- System.Windows.Forms.Clipboard API
  AddressRegex        -- Wallet adres regex paterni
  AddressEvaluator    -- Regex callback fonksiyonu
  GetAddress          -- Clipboard adresi okuma metodu
  set_AddressRegex    -- Regex atama property
  Replace             -- String.Replace ile degistirme
  address             -- Genel adres referanslari

Clipper Akisi

  1. Proses baslatilir, _runMutex ile tek ornek saglanir
  2. Clipboard degisikliklerini izler (WM_CLIPBOARDUPDATE veya timer)
  3. AddressRegex ile BTC/ETH/USDT/TRX/SOL adres paterni aranir
  4. AddressEvaluator ile regex eslesmesi cagrilir
  5. Eslesen adres saldirganin hardcoded cuzdan adresiyle degistirilir

Hedef Kripto Para Birimleri

Laplas Clipper, piyasadaki en kapsamli clipper servislerinden biridir. BTC, ETH, BNB, XMR, LTC, DOGE, SOL, TRX, USDT (TRC20/ERC20/BEP20), XRP, ADA ve 50+ kripto para adres formatini destekler.

Laplas Hakkinda

Laplas Clipper, 2022 yilinda underground forumlarda satisa sunulan bir MaaS hizmetidir. Panel uzerinden konfigure edilir; her musteri farkli hedef cuzdan adresleri ile ayarlanmis instance alir. .NET ile yazilmistir, minimal boyutu (8KB) sayesinde diger malware ailelerinin payload'una kolayca eklenir.

IOC

SHA2563e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
Mutex_runMutex
TeknikRegex tabanlı clipboard hijacking
Platform.NET (C#)

LaplasClipper — Malware Profili

LaplasClipper. clipper.guru C2. ApiKey config. Clipboard pano hijack. 8KB minimal binary.

Malware Tipi
Other
Programlama Dili
C#/.NET
C2 Protokolü
C2 Panel + Clipboard
Hedef Sistemler
Kuresel — Kripto Yatirimcilari

Yetenekler ve Davranış

Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz

IOC Listesi (1 gösterge)

IOC — LaplasClipper
# SHA256 3e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce
TürDeğerNot
sha256 3e41726d0ade4f37a7af4fcc01e52abc2d2cdad1e55d5dfa3c80a8a66d4e1dce

C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
clipper.guru domain 443 HTTPS inactive —
clipper.guru domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
laplas-clipperclipboard-hijackerkripto-cuzdannetaddress-regexmutex