JavaScript_obfuscation3 in aeu.alicdn.com

On 2020-05-07T14:44:06.839497+00:00 we found pattern JavaScript_obfuscation3, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page https://aeu.alicdn.com/AWSC/uab/1.123.6… referenced from http://www.daraz.lk/ .

Code sample:

b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'.fromCharCode' … b'23,284' … b'337,414' … b'37,414' … b'695,176' … b'95,176' … b'050,261' … b'50,261' … b'023,300' … b'23,300' … b'135,178' … b'35,178' … b'651,611' … b'51,611' … b'083,746' … b'83,746' … b'300,643' … b'00,643' … b'053,402' … b'53,402' … b'846,201' … b'46,201' … b'341,537' … b'41,537' … b'737,354' … b'37,354' … b'613,222' … b'13,222' … b'977,568' … b'77,568' … b'547,103' … b'47,103' … b'896,275' … b'96,275' … b'073,904' … b'73,904' … b'011,134' … b'11,134' … b'604,511' … b'04,511' … b'167,463' … b'67,463' … b'511,369' … b'11,369' … b'243,351' … b'43,351' … b'786,450' … b'86,450' … b'627,355' … b'27,355' … b'015,466' … b'15,466' … b'669,364' … b'69,364' … b'880,178' … b'80,178' … b'11,182' … b'860,543' … b'60,543' … b'165,204' … b'65,204' … b'884,100' … b'84,100' … b'455,335' … b'55,335' … b'076,410' … b'76,410' … b'225,194' … b'25,194' … b'135,278' … b'35,278' … b'063,310' … b'63,310' … b'627,228' … b'27,228' … b'882,548' … b'82,548' … b'561,718' … b'61,718' … b'34,255' … b'306,263' … b'06,263' … b'292,387' … b'92,387' … b'491,702' … b'91,702' … b'37,440' … b'047,503' … b'47,503' … b'378,199' … b'78,199' … b'508,437' … b'08,437' … b'596,722' … b'96,722' … b'355,465' … b'55,465' … b'009,639' … b'09,639' … b'417,699' … b'17,699' … b'277,146' … b'77,146' … b'743,668' … b'43,668' … b'993,115' … b'93,115' … b'510,462' … b'10,462' … b'248,461' … b'48,461' … b'267,438' … b'67,438' … b'547,229' … b'47,229' … b'036,606' … b'36,606' … b'40,273' … b'621,211' … b'21,211' … b'955,175' … b'55,175' … b'984,298' … b'84,298' … b'734,135' … b'34,135' … b'500,280' … b'00,280' … b'911,285' … b'11,285' … b'766,537' … b'66,537' … b'257,442' … b'57,442' … b'880,674' … b'80,674' … b'139,333' … b'39,333' … b'853,244' … b'53,244' … b'649,254' … b'49,254' … b'609,503' … b'09,503' … b'232,306' … b'32,306' … b'62,20' … b'876,651' … b'76,651' … b'548,345' … b'48,345' … b'710,425' … b'10,425' … b'374,464' … b'74,464' … b'603,438' … b'03,438' … b'940,215' … b'40,215' … b'477,536' … b'77,536' … b'885,552' … b'85,552' … b'855,175' … b'55,175' … b'073,460' … b'73,460'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).

Fully automated RESTful API is now available. Subscribe for your free trial today!