generic_javascript_obfuscation in www.googletagmanager.com

On 2019-03-12T05:34:48.076884+00:00 we found suspicious pattern generic_javascript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page https://www.googletagmanager.com/gtm....

The suspicious code sample:

b'var pb=[],qb={"\\x00":"&#0;",\'"\':"&quot;","&":"&amp;","\'":"&#39;","<":"&lt;",">":"&gt;","\\t":"&#9;","\\n":"&#10;","\\x0B":"&#11;","\\f":"&#12;","\\r":"&#13;"," ":"&#32;","-":"&#45;","/":"&#47;","=":"&#61;","`":"&#96;","\\u0085":"&#133;","\\u00a0":"&#160;","\\u2028":"&#8232;","\\u2029":"&#8233;"},rb=~\xe9\xdc\xb6*\'(a){return qb[a]},sb=/[\\x00\\x22\\x26\\x27\\x3c\\x3e]/g;var xb=/[\\x00\\x08-\\x0d\\x22\\x26\\x27\\/\\x3c-\\x3e\\\\\\x85\\u2028\\u2029]/g,yb={"\\x00":"\\\\x00","\\b":"\\\\x08","\\t":"\\\\t","\\n":"\\\\n","\\x0B' … b'\\x26' … b'\\x26' … b'\\x26' … b'\\x26' … b'\\xa0' … b'\\xa0' … b'\\xa0' … b'\\x00' … b'\\x0B' … b'\\x00' … b'\\x22' … b'\\x26' … b'\\x27' … b'\\x00' … b'\\x08' … b'\\x22' … b'\\x26' … b'\\x27' … b'\\x85' … b'\\x00' … b'\\x00' … b'\\x08' … b'\\x0B' … b'\\x0b' … b'\\x22' … b'\\x26' … b'\\x27' … b'\\x85' … b'\\x24' … b'\\x28' … b'\\x29' … b'\\x2a' … b'\\x2b' … b'\\x2e' … b'\\x5b' … b'\\x5e' … b'\\x7b' … b'\\x00' … b'\\x08' … b'\\x22' … b'\\x24' … b'\\x26' … b'\\x5b' … b'\\x5e' … b'\\x7b' … b'\\x85' … b'\\x00' … b'\\x22' … b'\\x27' … b'\\x29' … b'\\x7b' … b'\\x7f' … b'\\x85' … b'\\xa0' … b'\\x00' … b'\\x0B' … b'\\xa0' … b'"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+\\' … b'"CalculatePackagePrice"' … b'"getUntrustedUpdateValue"' … b'"ABCDEFGHIJKLMNOPQRSTUVWXYZ"' … b'"webkitMatchesSelector"' … b'%50' … b'%20' … b'%20' … b'%20' … b'%00' … b'%01' … b'%02' … b'%03' … b'%04' … b'%05' … b'%06' … b'%07' … b'%08' … b'%09' … b'%0A' … b'%0B' … b'%0C' … b'%0D' … b'%0E' … b'%0F' … b'%10' … b'%11' … b'%12' … b'%13' … b'%14' … b'%15' … b'%16' … b'%17' … b'%18' … b'%19' … b'%1A' … b'%1B' … b'%1C' … b'%1D' … b'%1E' … b'%1F' … b'%20' … b'%22' … b'%27' … b'%28' … b'%29' … b'%3C' … b'%3E' … b'%5C' … b'%7B' … b'%7D' … b'%7F' … b'%C2' … b'%85' … b'%C2' … b'%A0' … b'%E2' … b'%80' … b'%A8' … b'%E2' … b'%80' … b'%A9' … b'%EF' … b'%BC' … b'%81' … b'%EF' … b'%BC' … b'%83' … b'%EF' … b'%BC' … b'%84' … b'%EF' … b'%BC' … b'%86' … b'%EF' … b'%BC' … b'%87' … b'%EF' … b'%BC' … b'%88' … b'%EF' … b'%BC' … b'%89' … b'%EF' … b'%BC' … b'%8A' … b'%EF' … b'%BC' … b'%8B' … b'%EF' … b'%BC' … b'%8C' … b'%EF' … b'%BC' … b'%8F' … b'%EF' … b'%BC' … b'%9A' … b'%EF' … b'%BC' … b'%9B' … b'%EF' … b'%BC' … b'%9D' … b'%EF' … b'%BC' … b'%9F' … b'%EF' … b'%BC' … b'%A0' … b'%EF' … b'%BC' … b'%BB' … b'%EF' … b'%BC' … b'%BD'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).

Fully automated RESTful API is now available. Subscribe for your free trial today!