В поисковой системе Google выявлено появление мошеннических рекламных записей, показываемых на первых местах поисковой выдачи и нацеленных на распространение вредоносного ПО, прикрываясь продвижением свободного графического редактора GIMP. Рекламная ссылка оформлена таким образом, что у пользователей не возникает сомнений, что переход будет осуществлён на официальный сайт проекта www.gimp.org, но на деле осуществляется проброс на подконтрольные злоумышленникам домены gilimp.org или gimp.monster.
Содержимое открываемых сайтов повторяет оригинальный сайт gimp.org, но при попытке загрузки осуществляется перенаправление на сервисы Dropbox и Transfer.sh, через которые отдаётся файл Setup.exe с вредоносным кодом. Несовпадение адреса перехода и показываемого в выдаче Google URL объясняется особенностями настройки объявлений в сети Google AdSense, в которой имеется возможность задания отдельных URL для отображения и перехода (подразумевается, что для перехода может использоваться промежуточный проброс для оценки эффективности рекламы). По правилам Google в рекламном блоке и на финальной странице должен использоваться один домен, но, судя по всему, соблюдение правил предварительно не проверяется и регулируется на уровне реакции на жалобы.
Источник: opennet.ru