JavaScript_obfuscation in pornhub.com

On 2019-09-05T09:11:33.362339+00:00 we found suspicious pattern JavaScript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page http://pornhub.com/

The suspicious code sample:

b'var _0x118b1b' … b'var _0x4b210a' … b'var _0x4012a1' … b'var _0x5d4691' … b'var _0x2091d9' … b'var _0x3003eb' … b'var _0x457f3d' … b'var _0x49634b' … b'var _0x3bc309' … b'var _0x58489d' … b'var _0x5008f3' … b'var _0x3748ae' … b'var _0x144e3b' … b'var _0x5ae202' … b'var _0x39cb92' … b'var _0x2f170c' … b'var _0x42f97e' … b'var _0xe5c10e' … b'var _0x204655' … b'var _0xc4ffab' … b'var _0x5eae1c' … b'var _0x3dc46a' … b'var _0x1b2d2a' … b'var _0x27b003' … b'var _0x54718a' … b'var _0x5980fb' … b'var _0x319d0c' … b'var _0x2a03e4' … b'var _0x48dd37' … b'var _0x2dbad7' … b'var _0x434fec' … b'var _0x19eb41' … b'var _0x530b00' … b'var _0x4f215f' … b'var _0x562131' … b'var _0x5a9532' … b'var _0x3601e8' … b'var _0x1df6bb' … b'var _0x45d519' … b'var _0x58f6fd' … b'var _0x89340a' … b'var _0x3a1995' … b'var _0x5973b9' … b'var _0x1b8b94' … b'var _0x4fcb5f' … b'var _0x18057f' … b'var _0x4d77cd' … b'var _0x26cc4e' … b'var _0x401f3b' … b'var _0x250725' … b'var _0x425dfe' … b'var _0x117f01' … b'var _0x52666c' … b'var _0x2504ed' … b'var _0xcc7e30' … b'var _0xb5f87f' … b'var _0x2f0aed' … b'var _0x2d5813' … b'var _0x40a650' … b'var _0x5ebb48' … b'var _0x23e76e' … b'var _0x50cbc9' … b'var _0x504d5e' … b'var _0x3454a3' … b'var _0xa11709' … b'var _0x338c55' … b'var _0x540729' … b'var _0x30453e' … b'var _0x3738ff' … b'var _0x4d2f70' … b'var _0x39c3b6' … b'var _0xd4184e' … b'var _0x1ee5e3' … b'var _0x116a7b' … b'var _0x5313b0' … b'var _0x14fad5' … b'var _0x2d4726' … b'var _0x5d599f' … b'var _0x150e3f' … b'var _0x4e5f79' … b'var _0x5b53ae' … b'var _0x29f14c' … b'var _0x2cc001' … b'var _0x5e3a37' … b'var _0x83a41c' … b'var _0x2eebf4' … b'var _0x3827a9' … b'var _0x59fdfb' … b'var _0x2406de' … b'var _0x193a72' … b'var _0xc3147d' … b'var _0x4405e9' … b'var _0x19ed4e' … b'var _0x263d40' … b'var _0x344092' … b'var _0xc8f81f' … b'var _0x431be6' … b'var _0x2cc1bb' … b'var _0x2fa71e' … b'var _0xb02a68' … b'var _0x2f2f3c' … b'_0x1a2436=_0x1a2436' … b'_0x4012a1=_0x5d4691' … b'_0x2a6f5e=_0x3003eb' … b'_0x4858ef=_0x457f3d' … b'_0x2a6f5e=_0x2091d9' … b'_0x1bb513=_0x49634b' … b'_0x4b210a=_0x5008f3' … b'_0x144e3b=_0x3748ae' … b'_0x561aca=_0x21c678' … b'_0x2f170c=_0x21742a' … b'_0xc4ffab=_0x204655' … b'_0x54718a=_0x2cd721' … b'_0x2a03e4=_0x515047' … b'_0x48dd37=_0x515047' … b'_0x19eb41=_0x48dd37' … b'_0x530b00=_0x434fec' … b'_0x4f215f=_0x5d3a1a' … b'_0x562131=_0x434fec' … b'_0x3601e8=_0x48dd37' … b'_0x58f6fd=_0x434fec' … b'_0x89340a=_0x48dd37' … b'_0x3a1995=_0x2a03e4' … b'_0x3a1995=_0x2a03e4' … b'_0x4fcb5f=_0xd74003' … b'_0x401f3b=_0x2fb7b5' … b'_0x250725=_0x2fb7b5' … b'_0x425dfe=_0x2fb7b5' … b'_0x117f01=_0x2fb7b5' … b'_0x52666c=_0x2fb7b5' … b'_0x2504ed=_0x2fb7b5' … b'_0xa11709=_0x15d2e0' … b'_0x540729=_0x3fd125' … b'_0x30453e=_0x540729' … b'_0x1ee5e3=_0x512444' … b'_0x116a7b=_0x512444' … b'_0x5313b0=_0x512444' … b'_0x2d4726=_0x59d311' … b'_0x5d599f=_0x116a7b' … b'_0x150e3f=_0x2d4726' … b'_0x150e3f=_0x2d4726' … b'_0x150e3f=_0x2d4726' … b'_0x150e3f=_0x2d4726' … b'_0x83a41c=_0x51e19b' … b'_0x3827a9=_0xe47092' … b'_0x59fdfb=_0x3827a9' … b'_0x193a72=_0x8c974c' … b'_0xc3147d=_0x8c974c' … b'_0x431be6=_0xb0437b' … b'_0x118b1b(' … b'_0x5d4691(' … b'_0x531fa6(' … b'_0x531fa6(' … b'_0x531fa6(' … b'_0x21c678(' … b'_0x21c678(' … b'_0x21c678(' … b'_0x42f97e(' … b'_0x44bff8(' … b'_0x2cd721(' … b'_0x515047(' … b'_0x515047(' … b'_0x2dbad7(' … b'_0x4d77cd(' … b'_0x4d77cd(' … b'_0x1c9331(' … b'_0x1c9331(' … b'_0x2fb7b5(' … b'_0x2fb7b5(' … b'_0x2fb7b5(' … b'_0x2fb7b5(' … b'_0x2fb7b5(' … b'_0x2fb7b5(' … b'_0x18057f(' … b'_0xcc7e30(' … b'_0x40a650(' … b'_0x40a650(' … b'_0x3bb222(' … b'_0x3bb222(' … b'_0x2d5813(' … b'_0x23e76e(' … b'_0x504d5e(' … b'_0x504d5e(' … b'_0x50ca85(' … b'_0x50ca85(' … b'_0x15d2e0(' … b'_0x50cbc9(' … b'_0x338c55(' … b'_0x39c3b6(' … b'_0x39c3b6(' … b'_0x28c460(' … b'_0x28c460(' … b'_0x512444(' … b'_0x512444(' … b'_0x512444(' … b'_0x4d2f70(' … b'_0x14fad5(' … b'_0x2cc001(' … b'_0x2cc001(' … b'_0x52868d(' … b'_0x52868d(' … b'_0x51e19b(' … b'_0x29f14c(' … b'_0x2eebf4(' … b'_0x8c974c(' … b'_0x8c974c(' … b'_0x4405e9(' … b'function _0x21c678(' … b'function _0x42f97e(' … b'function _0x2dbad7(' … b'function _0x1c9331(' … b'function _0xcc7e30(' … b'function _0x3bb222(' … b'function _0x23e76e(' … b'function _0x50ca85(' … b'function _0x338c55(' … b'function _0x28c460(' … b'function _0x14fad5(' … b'function _0x52868d(' … b'function _0x2eebf4(' … b'function _0x4405e9(' … b'return _0x2f1c52' … b'return _0x4b210a' … b'return _0x3748ae' … b'return _0x144e3b' … b'return _0x561aca' … b'return _0x561aca' … b'return _0x561aca' … b'return _0x5ae202' … b'return _0x21742a' … b'return _0x21742a' … b'return _0x2f170c' … b'return _0x21c678' … b'return _0xe5c10e' … b'return _0x1b2d2a' … b'return _0x27b003' … b'return _0x5e6f64' … b'return _0x5e6f64' … b'return _0x5e6f64' … b'return _0x57523b' … b'return _0x42f97e' … b'return _0x5a9532' … b'return _0x5973b9' … b'return _0x2dbad7' … b'return _0x4d77cd' … b'return _0x4b8454' … b'return _0xcc7e30' … b'return _0x40a650' … b'return _0x369fe1' … b'return _0x23e76e' … b'return _0x504d5e' … b'return _0x3738ff' … b'return _0x540729' … b'return _0x338c55' … b'return _0x39c3b6' … b'return _0x116a7b' … b'return _0x116a7b' … b'return _0x116a7b' … b'return _0x116a7b' … b'return _0x2d4726' … b'return _0x14fad5' … b'return _0x2cc001' … b'return _0x2406de' … b'return _0x3827a9' … b'return _0x2eebf4' … b'return _0x263d40' … b'return _0x4405e9'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).

Fully automated RESTful API is now available. Subscribe for your free trial today!