generic_javascript_obfuscation in docs.google.com

On 2020-10-06T11:16:40.275229+00:00 we found pattern generic_javascript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page https://docs.google.com/comments/d/AAHR… referenced from https://sites.google.com/site/moversint… .

Code sample:

b'var c=[];a=[];for(c.push.apply(c,b.querySelectorAll("*"));0<c.length;){var d=c.shift();d.\xef\xbf\xbd\xef\xbf\xbd@\xef\xbf\xbd\xef\xbf\xbd\xef\xbf\xbdn\xef\xbf\xbd^("jslog")&&a.push(d);d.shadowRoot&&c.unshift.apply(c,d.shadowRoot.querySelectorAll("*"))}}else a=[].slice.call(b.querySelectorAll("[jslog]"));a.unshift(b);return a}var FZ=0;~\xef\xbf\xbd\xdc\xb6*\' KZ(a,b,c){U.call(this);this.od=null!=c?a.bind(c):a;this.H=b;this.D=null;this.F=!1;this.C=null}r(KZ,U);KZ.prototype.G=~\xef\xbf\xbd\xdc\xb6*\'(a){this.D=arguments;this.C?this.F=!0:pka(this)};KZ.prototype.stop=~\xef\xbf\xbd\xdc\xb6*\'(){this.C&&(vH(this.' … b'var h=[],k=0;k<arguments.length;++k)h[k]=arguments[k];k=this||t;var l=qka.get(k);l||(l={},qka.set(k,l));return ks(l,[this].concat(Co(h)),b,c)}}~\xef\xbf\xbd\xdc\xb6*\' rka(a,b){a=[a];for(var c=b.length-1;0<=c;--c)a.push(typeof b[c],b[c]);return a.join("\\x0B' … b'\\xa0' … b'\\xa0' … b'\\xa0' … b'\\x00' … b'\\x00' … b'\\x00' … b'\\xa0' … b'\\x00' … b'\\x0B' … b'\\x0B' … b'\\x08' … b'\\x08' … b'\\xa0' … b'\\x00' … b'\\x0B' … b'\\x00' … b'\\x0B' … b'\\x00' … b'\\x22' … b'\\x27' … b'\\x00' … b'\\x09' … b'\\x22' … b'\\x26' … b'\\x27' … b'\\x85' … b'\\xa0' … b'\\x00' … b'\\x09' … b'\\x22' … b'\\x27' … b'\\x85' … b'\\xa0' … b'\\x00' … b'\\x22' … b'\\x27' … b'\\x29' … b'\\x7b' … b'\\x7f' … b'\\x85' … b'\\xa0' … b'\\xa0' … b'\\xa0' … b'\\xa0' … b'\\x00' … b'\\x08' … b'\\x0a' … b'\\x1f' … b'\\x0B' … b'\\x00' … b'\\x1f' … b'\\x7f' … b'\\x00' … b'\\x1f' … b'\\x7f' … b'\\xff' … b'\\xa0' … b'\\xa0' … b'\\x0B' … b'\\x00' … b'\\x0B' … b'\\x7b' … b'\\x22' … b'\\x22' … b'\\x5b' … b'\\x22' … b'\\x22' … b'\\x5b' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x5b' … b'\\x5b' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x22' … b'\\x5b' … b'\\x22' … b'\\x22' … b'\\x5b' … b'\\x5b'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).