У пошукавай сістэме Google выяўлена з'яўленне ашуканскіх рэкламных запісаў, паказваных на першых месцах пошукавай выдачы і накіраваных на распаўсюджванне шкоднаснага ПА, затуляючыся пасоўваннем вольнага графічнага рэдактара GIMP. Рэкламная спасылка аформлена такім чынам, што ў карыстачоў не ўзнікае сумневаў, што пераход будзе ажыццёўлены на афіцыйны сайт праекту www.gimp.org, але на справе ажыццяўляецца пракід на падкантрольныя зламыснікам дамены gilimp.org ці gimp.monster.
Змесціва адчыняных сайтаў паўтарае арыгінальны сайт gimp.org, але пры спробе загрузкі ажыццяўляецца перанакіраванне на сэрвісы Dropbox і Transfer.sh, праз якія аддаецца файл Setup.exe са шкоднасным кодам. Несупадзенне адрасу пераходу і паказванага ў выдачы Google URL тлумачыцца асаблівасцямі налады аб'яў у сетцы Google AdSense, у якой ёсць магчымасць задання асобных URL для адлюстравання і пераходу (маецца на ўвазе, што для пераходу можа выкарыстоўвацца прамежкавы пракід для ацэнкі эфектыўнасці рэкламы). Па правілах Google у рэкламным блоку і на фінальнай старонцы павінен выкарыстоўвацца адзін дамен, але, судзячы па ўсім, захаванне правіл папярэдне не правяраецца і рэгулюецца на ўзроўні рэакцыі на скаргі.
Крыніца: opennet.ru