As funções de decodificação são uma das técnicas de ofuscação mais comumente vistas, onde atob (), decodeuricomponent (), decodeuri (), unescape () e string.fromCharcode () estão no topo da lista.Nossa análise acima mostra que as funções de decodificação e a gravação de documentos são usadas principalmente no contrabando de HTML (26% e 39%), enquanto raramente são vistas em comunicação legítima (2% e 0,3%).Neste exemplo, Base64 codificamos a seguinte imagem SVG, que contém JavaScript:
A imagem SVG codificada por Base64 é então inlinada usando um
Outra maneira usada para embutir e ofuscar HTML/JavaScript no contrabando de HTML são os URLs de dados.Os dados foram coletados por um período de 3 meses e, durante esse período, foram observados 9617 e -mails maliciosos e 2229 e -mails legítimos contendo anexos HTML com JavaScript.