Google-søgemaskinen har opdaget forekomsten af svigagtige reklameposter, der vises på de første steder i søgeresultaterne og har til formål at distribuere malware under dække af at promovere den gratis grafikeditor GIMP. Annoncelinket er designet på en sådan måde, at brugerne ikke er i tvivl om, at overgangen vil ske til projektets officielle hjemmeside www.gimp.org, men i virkeligheden videresendes det til domænerne gilimp.org eller gimp.monster kontrolleret af angribere.
Indholdet på de websteder, der åbnes, er det samme som det originale gimp.org-websted, men når du forsøger at downloade, bliver du omdirigeret til Dropbox- og Transfer.sh-tjenesterne, hvorigennem Setup.exe-filen med ondsindet kode sendes. Uoverensstemmelsen mellem overgangsadressen og den webadresse, der vises i Google-resultater, forklares af de særlige kendetegn ved opsætning af annoncer i Google AdSense-netværket, hvor det er muligt at angive separate webadresser til visning og overgang (det er underforstået, at en mellemvideresendelse kan bruges til overgangen for at evaluere effektiviteten af annoncering). Googles regler kræver, at annonceenheden og den sidste side bruger det samme domæne, men overholdelse af reglerne ser ikke ud til at være forhåndsbekræftet og er reguleret på niveauet for svar på klager.
Kilde: opennet.ru