generic_javascript_obfuscation in pornimagine.com

On 2019-02-07T04:02:00.047690+00:00 we found suspicious pattern generic_javascript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page https://pornimagine.com/

The suspicious code sample:

b'var c=["/\\u002f\\x63\\u0031.\\u0070o\\x70\\u0061\\u0064\\u0073.\\u006e\\x65t\\u002f\\u0070o\\u0070\\x2e\\x6a\\x73","\\x2f\\u002f\\u00632\\x2e\\u0070o\\x70\\u0061\\x64\\x73\\u002e\\u006e\\x65t\\u002f\\x70\\u006f\\x70\\u002ej\\x73","\\x2f\\u002f\\x77\\u0077\\x77\\u002e\\u0074ux\\x62pn\\u006ee.co\\x6d\\x2fy.\\u006as","\\u002f\\u002f\\x77\\x77\\x77\\x2e\\x66\\u0076\\x69\\x77\\x77\\x6b\\x76\\x76x\\u0073\\x2e\\x63\\u006fm\\x2f\\x7a\\x75d.\\u006as",""],k=0,j,w=function(){if(""==c[k])return;j=u["\\x64o\\x63u\\x6d\\u0065\\u006e\\x74"]["\\x63r\\x65\\x61\\x74\\x65Ele\\u006de\\u006et"]("\\x73\\u0063' … b'\\x5f' … b'\\x69' … b'\\x49' … b'\\x64' … b'\\x69' … b'\\x64' … b'\\x6f' … b'\\x75' … b'\\x6e' … b'\\x50' … b'\\x65' … b'\\x49' … b'\\x64' … b'\\x65' … b'\\x65' … b'\\x66' … b'\\x61' … b'\\x75' … b'\\x2f' … b'\\x2f' … b'\\x68' … b'\\x2e' … b'\\x2f' … b'\\x6b' … b'\\x78' … b'\\x66' … b'\\x6f' … b'\\x65' … b'\\x72' … b'\\x5f' … b'\\x69' … b'\\x64' … b'\\x62' … b'\\x50' … b'\\x72' … b'\\x6f' … b'\\x65' … b'\\x72' … b'\\x70' … b'\\x65' … b'\\x2e' … b'\\x6a' … b'\\x2f' … b'\\x2e' … b'\\x70' … b'\\x64' … b'\\x65' … b'\\x70' … b'\\x70' … b'\\x2f' … b'\\x77' … b'\\x77' … b'\\x62' … b'\\x2f' … b'\\x77' … b'\\x77' … b'\\x77' … b'\\x2e' … b'\\x66' … b'\\x69' … b'\\x77' … b'\\x77' … b'\\x6b' … b'\\x76' … b'\\x76' … b'\\x2e' … b'\\x2f' … b'\\x7a' … b'\\x75' … b'\\x64' … b'\\x74' … b'\\x65' … b'\\x61' … b'\\x74' … b'\\x65' … b'\\x72' … b'\\x69' … b'\\x70' … b'\\x74' … b'\\x74' … b'\\x70' … b'\\x74' … b'\\x2f' … b'\\x61' … b'\\x69' … b'\\x74' … b'\\x61' … b'\\x6e' … b'\\x64' … b'\\x6f' … b'\\x6e' … b'\\x65' … b'\\x65' … b'\\x65' … b'\\x4e' … b'\\x61' … b'\\x65' … b'\\x72' … b'\\x69' … b'\\x6e' … b'\\x6e' … b'\\x79' … b'\\x67' … b'\\x69' … b'\\x56' … b'\\x48' … b'\\x6f' … b'\\x65' … b'\\x49' … b'\\x51' … b'\\x52' … b'\\x61' … b'\\x65' … b'\\x72' … b'\\x72' … b'\\x70' … b'\\x72' … b'\\x74' … b'\\x4e' … b'\\x6f' … b'\\x65' … b'\\x6e' … b'\\x72' … b'\\x65' … b'\\x6f' … b'"application/wlwmanifest+xml"' … b'%20' … b'%20' … b'%23' … b'%3A' … b'%2F' … b'%2F' … b'%2F' … b'%3F' … b'%3D' … b'%7B' … b'%0A' … b'%20' … b'%20' … b'%20' … b'%20' … b'%3A' … b'%20' … b'%3B' … b'%0A' … b'%20' … b'%20' … b'%20' … b'%20' … b'%3A' … b'%20' … b'%3B' … b'%0A' … b'%20' … b'%20' … b'%20' … b'%20' … b'%3A' … b'%20' … b'%3B' … b'%0A' … b'%20' … b'%20' … b'%20' … b'%20' … b'%3A' … b'%20' … b'%20' … b'%3B' … b'%0A' … b'%7D' … b'%0A' … b'%3A' … b'%7B' … b'%0A' … b'%20' … b'%20' … b'%20' … b'%20' … b'%3A' … b'%20' … b'%3B' … b'%0A' … b'%7D' … b'%0A' … b'%7B' … b'%0A' … b'%20' … b'%20' … b'%20' … b'%20' … b'%3A' … b'%20' … b'%3B' … b'%0A' … b'%7D' … b'%0A' … b'%0A'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).

Fully automated RESTful API is now available. Subscribe for your free trial today!