generic_javascript_obfuscation in www.altyazilivpn.xyz

On 2019-07-09T22:08:33.887800+00:00 we found suspicious pattern generic_javascript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page https://www.altyazilivpn.xyz/2019/07/13…

The suspicious code sample:

b'var _0x4d59=["\\x73\\x63\\x72\\x65\\x65\\x6E\\x20\\x61\\x6E\\x64\\x20\\x28\\x6D\\x69\\x6E\\x2D\\x77\\x69\\x64\\x74\\x68\\x3A\\x20\\x36\\x30\\x65\\x6D\\x29","\\x6D\\x61\\x74\\x63\\x68\\x4D\\x65\\x64\\x69\\x61","\\x6D\\x61\\x74\\x63\\x68\\x65\\x73","\\x63\\x6C\\x69\\x63\\x6B","\\x66\\x6F\\x63\\x75\\x73","\\x2E\\x73\\x65\\x61\\x72\\x63\\x68","\\x66\\x69\\x6E\\x64","\\x61\\x63\\x74\\x69\\x76\\x65","\\x61\\x64\\x64\\x43\\x6C\\x61\\x73\\x73","\\x2E\\x6C\\x69\\x76\\x65\\x2D\\x73\\x65\\x61\\x72\\x63\\x68","\\x6F\\x6E","\\x2E\\x73\\x65\\x61\\x72\\x63\\x68\\x62\\x75\\x74\\x74\\x6F\\x6E","\\x72\\x65\\x6D\\x6F\\x76\\x65\\x43\\x6C\\x' … b'\\x72' … b'\\x65' … b'\\x65' … b'\\x6E' … b'\\x20' … b'\\x61' … b'\\x6E' … b'\\x64' … b'\\x20' … b'\\x28' … b'\\x69' … b'\\x6E' … b'\\x77' … b'\\x69' … b'\\x64' … b'\\x74' … b'\\x68' … b'\\x20' … b'\\x65' … b'\\x29' … b'\\x61' … b'\\x74' … b'\\x68' … b'\\x65' … b'\\x64' … b'\\x69' … b'\\x61' … b'\\x61' … b'\\x74' … b'\\x68' … b'\\x65' … b'\\x69' … b'\\x6B' … b'\\x66' … b'\\x6F' … b'\\x75' … b'\\x2E' … b'\\x65' … b'\\x61' … b'\\x72' … b'\\x68' … b'\\x66' … b'\\x69' … b'\\x6E' … b'\\x64' … b'\\x61' … b'\\x74' … b'\\x69' … b'\\x76' … b'\\x65' … b'\\x61' … b'\\x64' … b'\\x64' … b'\\x61' … b'\\x2E' … b'\\x69' … b'\\x76' … b'\\x65' … b'\\x65' … b'\\x61' … b'\\x72' … b'\\x68' … b'\\x6F' … b'\\x6E' … b'\\x2E' … b'\\x65' … b'\\x61' … b'\\x72' … b'\\x68' … b'\\x62' … b'\\x75' … b'\\x74' … b'\\x74' … b'\\x6F' … b'\\x6E' … b'\\x72' … b'\\x65' … b'\\x6F' … b'\\x76' … b'\\x65' … b'\\x61' … b'\\x6F' … b'\\x65' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x27' … b'\\x27' … b'\\x27' … b'\\x27' … b"'enabledCommentProfileImages'" … b"'analyticsAccountNumber'" … b"'localeUnderscoreDelimited'" … b"'dynamicViewsCommentsSrc'" … b"'dynamicViewsScriptSrc'" … b"'googlePlusShareButtonWidth'" … b"'postImageThumbnailUrl'" … b"'linkCopiedToClipboard'" … b"'cmtInteractionsEnabled'" … b'%2B' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%25' … b'%2B' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%25' … b'%25' … b'%2B' … b'%2B'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).

Fully automated RESTful API is now available. Subscribe for your free trial today!