generic_javascript_obfuscation in www.airdropter.xyz

On 2019-10-05T02:57:07.687901+00:00 we found suspicious pattern generic_javascript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page http://www.airdropter.xyz/

The suspicious code sample:

b'var _0x2bab=["\\x68\\x72\\x65\\x66","\\x61\\x74\\x74\\x72","\\x61\\x2E\\x62\\x6C\\x6F\\x67\\x2D\\x70\\x61\\x67\\x65\\x72\\x2D\\x6F\\x6C\\x64\\x65\\x72\\x2D\\x6C\\x69\\x6E\\x6B","\\x73\\x68\\x6F\\x77","\\x2E\\x6C\\x6F\\x61\\x64\\x4D\\x6F\\x72\\x65\\x50\\x6F\\x73\\x74\\x73","\\x63\\x6C\\x69\\x63\\x6B","\\x68\\x69\\x64\\x65","\\x2E\\x62\\x6C\\x6F\\x67\\x2D\\x70\\x6F\\x73\\x74\\x73","\\x66\\x69\\x6E\\x64","\\x72\\x65\\x6D\\x6F\\x76\\x65","\\x2E\\x73\\x74\\x61\\x74\\x75\\x73\\x2D\\x6D\\x73\\x67\\x2D\\x77\\x72\\x61\\x70","\\x63\\x68\\x69\\x6C\\x64\\x72\\x65\\x6E","\\x68\\x74\\x6D\\x6C","\\x61\\x70\\x70\\x65\\x6E\\x64","\\x2E' … b'\\x68' … b'\\x72' … b'\\x65' … b'\\x66' … b'\\x61' … b'\\x74' … b'\\x74' … b'\\x72' … b'\\x61' … b'\\x2E' … b'\\x62' … b'\\x6F' … b'\\x67' … b'\\x70' … b'\\x61' … b'\\x67' … b'\\x65' … b'\\x72' … b'\\x6F' … b'\\x64' … b'\\x65' … b'\\x72' … b'\\x69' … b'\\x6E' … b'\\x6B' … b'\\x68' … b'\\x6F' … b'\\x77' … b'\\x2E' … b'\\x6F' … b'\\x61' … b'\\x64' … b'\\x6F' … b'\\x72' … b'\\x65' … b'\\x50' … b'\\x6F' … b'\\x74' … b'\\x69' … b'\\x6B' … b'\\x68' … b'\\x69' … b'\\x64' … b'\\x65' … b'\\x2E' … b'\\x62' … b'\\x6F' … b'\\x67' … b'\\x70' … b'\\x6F' … b'\\x74' … b'\\x66' … b'\\x69' … b'\\x6E' … b'\\x64' … b'\\x72' … b'\\x65' … b'\\x6F' … b'\\x76' … b'\\x65' … b'\\x2E' … b'\\x74' … b'\\x61' … b'\\x74' … b'\\x75' … b'\\x67' … b'\\x77' … b'\\x72' … b'\\x61' … b'\\x70' … b'\\x68' … b'\\x69' … b'\\x64' … b'\\x72' … b'\\x65' … b'\\x6E' … b'\\x68' … b'\\x74' … b'\\x61' … b'\\x70' … b'\\x70' … b'\\x65' … b'\\x6E' … b'\\x64' … b'\\x2E' … b'\\x62' … b'\\x6F' … b'\\x67' … b'\\x70' … b'\\x61' … b'\\x67' … b'\\x65' … b'\\x72' … b'\\x6F' … b'\\x64' … b'\\x65' … b'\\x72' … b'\\x69' … b'\\x6E' … b'\\x6B' … b'\\x2E' … b'\\x6E' … b'\\x6F' … b'\\x6F' … b'\\x72' … b'\\x65' … b'\\x50' … b'\\x6F' … b'\\x74' … b'\\x2E' … b'\\x6F' … b'\\x61' … b'\\x64' … b'\\x6F' … b'\\x72' … b'\\x65' … b'\\x20' … b'\\x20' … b'\\x6F' … b'\\x61' … b'\\x64' … b'\\x65' … b'\\x72' … b'\\x61' … b'\\x6A' … b'\\x61' … b'\\x78' … b'\\x70' … b'\\x72' … b'\\x65' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x44' … b'\\x65' … b'\\x66' … b'\\x61' … b'\\x75' … b'\\x74' … b'\\x6F' … b'\\x6E' … b'\\x2E' … b'\\x6F' … b'\\x61' … b'\\x64' … b'\\x6F' … b'\\x72' … b'\\x65' … b'\\x50' … b'\\x6F' … b'\\x74' … b'\\x20' … b'\\x61' … b'\\x2E' … b'\\x70' … b'\\x6F' … b'\\x77' … b'\\x65' … b'\\x72' … b'\\x65' … b'\\x64' … b'\\x62' … b'\\x79' … b'\\x68' … b'\\x74' … b'\\x74' … b'\\x70' … b'\\x2F' … b'\\x2F' … b'\\x77' … b'\\x77' … b'\\x77' … b'\\x2E' … b'\\x67' … b'\\x74' … b'\\x65' … b'\\x70' … b'\\x61' … b'\\x74' … b'\\x65' … b'\\x2E' … b'\\x69' … b'\\x6E' … b'\\x66' … b'\\x6F' … b'\\x6F' … b'\\x61' … b'\\x74' … b'\\x69' … b'\\x6F' … b'\\x6E' … b'\\x72' … b'\\x65' … b'\\x61' … b'\\x64' … b'\\x79' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x27' … b'\\x27' … b'\\x27' … b'\\x27' … b"'enabledCommentProfileImages'" … b"'analyticsAccountNumber'" … b"'localeUnderscoreDelimited'" … b"'dynamicViewsCommentsSrc'" … b"'dynamicViewsScriptSrc'" … b"'googlePlusShareButtonWidth'" … b"'linkCopiedToClipboard'" … b"'cmtInteractionsEnabled'" … b'%3C' … b'%3E' … b'%3C' … b'%23' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%23' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%23' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%23' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%23' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%23' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%23' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%23' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%23' … b'%3E' … b'%3C' … b'%3E' … b'%3C' … b'%3E' … b'%20' … b'%5B' … b'%20' … b'%5D' … b'%20' … b'%28' … b'%29' … b'%20' … b'%28' … b'%29' … b'%20' … b'%5B' … b'%20' … b'%5D' … b'%20' … b'%28' … b'%29' … b'%20' … b'%20' … b'%5B' … b'%20' … b'%5D' … b'%20' … b'%28' … b'%29' … b'%20' … b'%20' … b'%5B' … b'%20' … b'%5D' … b'%20' … b'%28' … b'%29' … b'%20' … b'%20' … b'%5B' … b'%20' … b'%5D' … b'%20' … b'%28' … b'%29' … b'%20' … b'%20' … b'%20' … b'%20' … b'%5B' … b'%20' … b'%5D' … b'%20' … b'%28' … b'%29' … b'%20'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).

Fully automated RESTful API is now available. Subscribe for your free trial today!