JavaScript_obfuscation in offshoretolerantbenignity.com

On 2020-08-28T02:48:29.867864+00:00 we found pattern JavaScript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page https://offshoretolerantbenignity.com/8… referenced from http://onejav.com/ .

Code sample:

b'var _0x2d8a2c' … b'var _0x2d8a2c' … b'var _0x3a00c0' … b'var _0x535f90' … b'var _0x202be5' … b'var _0x33926e' … b'var _0x4dc782' … b'var _0x14485d' … b'var _0x5dcf76' … b'var _0x296fa3' … b'var _0x11acdc' … b'var _0x1bd776' … b'var _0x50daa6' … b'var _0x46df48' … b'var _0x11e6c1' … b'var _0x22978d' … b'var _0x14bd12' … b'var _0x510481' … b'var _0x19c348' … b'var _0x14f07e' … b'var _0x1ada33' … b'var _0x19bf9c' … b'var _0x4f4d3a' … b'var _0x4251af' … b'var _0x33269f' … b'var _0x3c0b39' … b'var _0x48f076' … b'var _0x4e19c1' … b'var _0x5a3ba4' … b'var _0x4e2eb8' … b'var _0x3ac7f7' … b'var _0x256aa1' … b'var _0xf6c943' … b'_0x3259f6=_0x3259f6' … b'_0x3a00c0=_0x441fae' … b'_0x535f90=_0x441fae' … b'_0x222b8a=_0x65d7a0' … b'_0x222b8a=_0x5648f1' … b'_0x14485d=_0x40ac35' … b'_0x26dfc9=_0x528b48' … b'_0x46df48=_0x343839' … b'_0x114f77=_0x5b62da' … b'_0x1ba418=_0x1ba418' … b'_0x14bd12=_0x410ecc' … b'_0x1bb8e6=_0x14bd12' … b'_0x10fc66=_0x10fc66' … b'_0x10fc66=_0x10fc66' … b'_0xd01c67=_0x343839' … b'_0x204358=_0x65d7a0' … b'_0x59c0bf=_0xf6c943' … b'_0x2d8a2c(' … b'_0x441fae(' … b'_0x441fae(' … b'_0x441fae(' … b'_0x546072(' … b'_0x256d44(' … b'_0x546072(' … b'_0x566fb6(' … b'_0x256d44(' … b'_0x50d215(' … b'_0x256d44(' … b'_0x5c57ee(' … b'_0x5c57ee(' … b'_0x5c57ee(' … b'_0x65d7a0(' … b'_0x173f40(' … b'_0x5058cd(' … b'_0xbd5f4b(' … b'_0x3b1ee3(' … b'_0x25527d(' … b'_0x25527d(' … b'_0x562638(' … b'_0x343839(' … b'_0x4e3603(' … b'_0x343839(' … b'_0x11e6c1(' … b'_0x4d7361(' … b'_0x11e6c1(' … b'_0x4d7361(' … b'_0x4d7361(' … b'_0x18d4ee(' … b'_0x4e3603(' … b'_0x343839(' … b'_0x5c57ee(' … b'_0x24e6ba(' … b'_0x343839(' … b'_0x29cdd5(' … b'_0x562638(' … b'_0x24e6ba(' … b'_0x18d4ee(' … b'_0x56ad04(' … b'_0x566fb6(' … b'_0x36ccce(' … b'_0x5058cd(' … b'_0x25b089(' … b'_0x4f55a6(' … b'_0x2e5098(' … b'_0x178316(' … b'_0x56ad04(' … b'_0x3b19e8(' … b'_0x2e5098(' … b'_0x178316(' … b'_0x50d215(' … b'_0x4f55a6(' … b'_0x173f40(' … b'_0x29a02d(' … b'_0x3b1ee3(' … b'_0x3ed559(' … b'_0x36ccce(' … b'_0x65d7a0(' … b'_0x173f40(' … b'_0x282b63(' … b'_0x65d7a0(' … b'_0x173f40(' … b'_0x65d7a0(' … b'_0x173f40(' … b'_0x155540(' … b'_0x65d7a0(' … b'_0x173f40(' … b'_0x173f40(' … b'_0x173f40(' … b'_0x173f40(' … b'_0x65d7a0(' … b'_0x65d7a0(' … b'_0x65d7a0(' … b'_0x282b63(' … b'_0x155540(' … b'_0x3ed559(' … b'function _0x441fae(' … b'function _0x546072(' … b'function _0x256d44(' … b'function _0x566fb6(' … b'function _0x50d215(' … b'function _0x5c57ee(' … b'function _0x5058cd(' … b'function _0x3b1ee3(' … b'function _0x562638(' … b'function _0x4e3603(' … b'function _0x18d4ee(' … b'function _0x343839(' … b'function _0x24e6ba(' … b'function _0x29cdd5(' … b'function _0x36ccce(' … b'function _0x4f55a6(' … b'function _0x2e5098(' … b'function _0x178316(' … b'function _0x56ad04(' … b'function _0x3b19e8(' … b'function _0x29a02d(' … b'function _0x3ed559(' … b'function _0x282b63(' … b'function _0x65d7a0(' … b'function _0x173f40(' … b'function _0x155540(' … b'return _0x2d8a2c' … b'return _0x222b8a' … b'return _0x1bd776' … b'return _0x22978d' … b'return _0x10fc66' … b'return _0x3ac7f7' … b'return _0x3cfc08'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).