https://blog.bitsrc.io/how-to-hide-secrets-in-strings-modern-text-hiding-in-javascript-613a9faa5787?gi=cce14b3afd96
StegCloak is a pure JavaScript steganography module designed in functional programming style, to hide secrets inside text by compressing and encrypting with Zero Width Characters. It can be used to safely watermark strings, invisible scripts on webpages, texts on social media or for any other covert communication. Completely invisible!
Live demo :
https://stegcloak.surge.sh/
#tools #steganography #js
@securation
StegCloak is a pure JavaScript steganography module designed in functional programming style, to hide secrets inside text by compressing and encrypting with Zero Width Characters. It can be used to safely watermark strings, invisible scripts on webpages, texts on social media or for any other covert communication. Completely invisible!
Live demo :
https://stegcloak.surge.sh/
#tools #steganography #js
@securation
#JS #Malware
جدیدا تعدادی لینک با دامنههای متفاوت (که زیاد از زمان ثبتشون نمیگذره) با سرتیتر های متفاوتی از جمله "برنده شدن گوشی" و ...، در حال پخش هست.
مثال:
hxxps://ecuth.com/MWJpcmZh
❌ حواستون باشه لینک رو به هیچوجه باز نکنید.
پس از بررسی لینک متوجه شدیم در نهایت به google عمل Redirect انجام میشه.
اما قبل از Redirect چه اتفاقی میافته؟ صرفا یک شوخیه؟
با بررسیهای بهعمل آمده مشخص گردید سامانه با استفاده از کد JS و تابع
اما بدافزار واقعی کجا اتفاق میافتد؟
سامانه حاوی یک Link است که شامل یک کد JS به صورت Obfuscate شده است که در پیام بعدی بارگذاری کردم.
تنها IoC که در حال حاضر میشه بهش اتکا کرد دامنهی مورد استفاده است، در حالیکه لینک با دامنههای متفاوتی در حال پخش است، اما تمامی این دامنهها، به borarl.com ختم میشود و پس از آن به Google.com انتقال مییابد.
در حال حاضر وقتی برای تحلیل این کد JS نداشتم، اگر کسی میتونه کمک کنه خوشحال میشم با من در میون بذاره. @INVOXES
@securation
جدیدا تعدادی لینک با دامنههای متفاوت (که زیاد از زمان ثبتشون نمیگذره) با سرتیتر های متفاوتی از جمله "برنده شدن گوشی" و ...، در حال پخش هست.
مثال:
hxxps://ecuth.com/MWJpcmZh
❌ حواستون باشه لینک رو به هیچوجه باز نکنید.
پس از بررسی لینک متوجه شدیم در نهایت به google عمل Redirect انجام میشه.
اما قبل از Redirect چه اتفاقی میافته؟ صرفا یک شوخیه؟
با بررسیهای بهعمل آمده مشخص گردید سامانه با استفاده از کد JS و تابع
()window.open اقدام به ارسال پیام توسط پیامرسانها (WhatsApp, Telegram, Viber, Line) برای انتشار لینک بدافزار خود میکند.اما بدافزار واقعی کجا اتفاق میافتد؟
سامانه حاوی یک Link است که شامل یک کد JS به صورت Obfuscate شده است که در پیام بعدی بارگذاری کردم.
تنها IoC که در حال حاضر میشه بهش اتکا کرد دامنهی مورد استفاده است، در حالیکه لینک با دامنههای متفاوتی در حال پخش است، اما تمامی این دامنهها، به borarl.com ختم میشود و پس از آن به Google.com انتقال مییابد.
در حال حاضر وقتی برای تحلیل این کد JS نداشتم، اگر کسی میتونه کمک کنه خوشحال میشم با من در میون بذاره. @INVOXES
@securation
#JavaScript #JS #Obfuscate #Deobfuscate
https://github.com/liulihaocai/JSDec
https://lelinhtinh.github.io/de4js
https://www.dcode.fr/javascript-unobfuscator
https://beautifier.io
@securation
https://github.com/liulihaocai/JSDec
https://lelinhtinh.github.io/de4js
https://www.dcode.fr/javascript-unobfuscator
https://beautifier.io
@securation
GitHub
GitHub - hax0r31337/JSDec: Online JavaScript decoder.Supported sojson v4/Premium/v5 and more(No longer update)
Online JavaScript decoder.Supported sojson v4/Premium/v5 and more(No longer update) - hax0r31337/JSDec