generic_javascript_obfuscation in cdn1.traffichaus.com

On 2017-04-11T13:56:08.931831+00:00 we found suspicious pattern generic_javascript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page https://cdn1.traffichaus.com/scripts/ad… referenced from https://www.heavy-r.com/ .

The suspicious code sample:

b'var _0x71a0=["\\x64\\x6F\\x63\\x75\\x6D\\x65\\x6E\\x74","\\x75\\x73\\x65\\x20\\x73\\x74\\x72\\x69\\x63\\x74","\\x72\\x65\\x6D\\x6F\\x76\\x65","\\x70\\x72\\x6F\\x74\\x6F\\x74\\x79\\x70\\x65","\\x70\\x61\\x72\\x65\\x6E\\x74\\x4E\\x6F\\x64\\x65","\\x72\\x65\\x6D\\x6F\\x76\\x65\\x43\\x68\\x69\\x6C\\x64","\\x2F\\x2F\\x63\\x64\\x6E\\x31\\x68\\x74\\x2E\\x74\\x72\\x61\\x66\\x66\\x69\\x63\\x68\\x61\\x75\\x73\\x2E\\x63\\x6F\\x6D\\x2F\\x61\\x64\\x73\\x2F\\x62\\x61\\x6E\\x6E\\x65\\x72\\x2D\\x61\\x64\\x2E\\x6A\\x73","\\x72\\x61\\x5F\\x61\\x64\\x76\\x65\\x72\\x74\\x69\\x73\\x65\\x6D\\x65\\x6E\\x74","\\x73\\x63\\x72\\x69\\x70\\x74","\\x6' … b'\\x64' … b'\\x6F' … b'\\x63' … b'\\x75' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x75' … b'\\x73' … b'\\x65' … b'\\x20' … b'\\x73' … b'\\x74' … b'\\x72' … b'\\x69' … b'\\x63' … b'\\x74' … b'\\x72' … b'\\x65' … b'\\x6D' … b'\\x6F' … b'\\x76' … b'\\x65' … b'\\x70' … b'\\x72' … b'\\x6F' … b'\\x74' … b'\\x6F' … b'\\x74' … b'\\x79' … b'\\x70' … b'\\x65' … b'\\x70' … b'\\x61' … b'\\x72' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x4E' … b'\\x6F' … b'\\x64' … b'\\x65' … b'\\x72' … b'\\x65' … b'\\x6D' … b'\\x6F' … b'\\x76' … b'\\x65' … b'\\x43' … b'\\x68' … b'\\x69' … b'\\x6C' … b'\\x64' … b'\\x2F' … b'\\x2F' … b'\\x63' … b'\\x64' … b'\\x6E' … b'\\x31' … b'\\x68' … b'\\x74' … b'\\x2E' … b'\\x74' … b'\\x72' … b'\\x61' … b'\\x66' … b'\\x66' … b'\\x69' … b'\\x63' … b'\\x68' … b'\\x61' … b'\\x75' … b'\\x73' … b'\\x2E' … b'\\x63' … b'\\x6F' … b'\\x6D' … b'\\x2F' … b'\\x61' … b'\\x64' … b'\\x73' … b'\\x2F' … b'\\x62' … b'\\x61' … b'\\x6E' … b'\\x6E' … b'\\x65' … b'\\x72' … b'\\x2D' … b'\\x61' … b'\\x64' … b'\\x2E' … b'\\x6A' … b'\\x73' … b'\\x72' … b'\\x61' … b'\\x5F' … b'\\x61' … b'\\x64' … b'\\x76' … b'\\x65' … b'\\x72' … b'\\x74' … b'\\x69' … b'\\x73' … b'\\x65' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x73' … b'\\x63' … b'\\x72' … b'\\x69' … b'\\x70' … b'\\x74' … b'\\x63' … b'\\x72' … b'\\x65' … b'\\x61' … b'\\x74' … b'\\x65' … b'\\x45' … b'\\x6C' … b'\\x65' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x73' … b'\\x72' … b'\\x63' … b'\\x69' … b'\\x64' … b'\\x6F' … b'\\x6E' … b'\\x6C' … b'\\x6F' … b'\\x61' … b'\\x64' … b'\\x62' … b'\\x6F' … b'\\x64' … b'\\x79' … b'\\x6F' … b'\\x6E' … b'\\x65' … b'\\x72' … b'\\x72' … b'\\x6F' … b'\\x72' … b'\\x72' … b'\\x61' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x74' … b'\\x61' … b'\\x72' … b'\\x67' … b'\\x65' … b'\\x74' … b'\\x73' … b'\\x72' … b'\\x63' … b'\\x45' … b'\\x6C' … b'\\x65' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x64' … b'\\x69' … b'\\x73' … b'\\x70' … b'\\x61' … b'\\x74' … b'\\x63' … b'\\x68' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x6C' … b'\\x6F' … b'\\x61' … b'\\x64' … b'\\x69' … b'\\x6E' … b'\\x67' … b'\\x72' … b'\\x65' … b'\\x61' … b'\\x64' … b'\\x79' … b'\\x53' … b'\\x74' … b'\\x61' … b'\\x74' … b'\\x65' … b'\\x6E' … b'\\x61' … b'\\x76' … b'\\x69' … b'\\x67' … b'\\x61' … b'\\x74' … b'\\x6F' … b'\\x72' … b'\\x63' … b'\\x6F' … b'\\x6E' … b'\\x6E' … b'\\x65' … b'\\x63' … b'\\x74' … b'\\x69' … b'\\x6F' … b'\\x6E' … b'\\x63' … b'\\x65' … b'\\x6C' … b'\\x6C' … b'\\x75' … b'\\x6C' … b'\\x61' … b'\\x72' … b'\\x74' … b'\\x79' … b'\\x70' … b'\\x65' … b'\\x64' … b'\\x6F' … b'\\x77' … b'\\x6E' … b'\\x6C' … b'\\x69' … b'\\x6E' … b'\\x6B' … b'\\x4D' … b'\\x61' … b'\\x78' … b'\\x61' … b'\\x70' … b'\\x70' … b'\\x65' … b'\\x6E' … b'\\x64' … b'\\x43' … b'\\x68' … b'\\x69' … b'\\x6C' … b'\\x64' … b'\\x6F' … b'\\x75' … b'\\x74' … b'\\x65' … b'\\x72' … b'\\x48' … b'\\x54' … b'\\x4D' … b'\\x4C' … b'\\x77' … b'\\x72' … b'\\x69' … b'\\x74' … b'\\x65' … b'\\x67' … b'\\x65' … b'\\x74' … b'\\x45' … b'\\x6C' … b'\\x65' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x42' … b'\\x79' … b'\\x49' … b'\\x64' … b'\\x74' … b'\\x68' … b'\\x5F' … b'\\x61' … b'\\x64' … b'\\x76' … b'\\x65' … b'\\x72' … b'\\x74' … b'\\x69' … b'\\x73' … b'\\x65' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).

Fully automated RESTful API is now available. Subscribe for your free trial today!