Google-søgemaskinen har opdaget forekomsten af svigagtige reklameposter, der vises på de første steder i søgeresultaterne og har til formål at distribuere malware under dække af at promovere den gratis grafikeditor GIMP. Annoncelinket er designet på en sådan måde, at brugerne ikke er i tvivl om, at overgangen vil ske til projektets officielle hjemmeside www.gimp.org, men i virkeligheden videresendes det til domænerne gilimp.org eller gimp.monster kontrolleret af angribere.
Indholdet på de åbnede sider er identisk med det originale gimp.org-websted, men når de forsøger at downloade, omdirigeres de til Dropbox og Transfer.sh, som leverer Setup.exe-filen, der indeholder skadelig kode. Forskellen mellem omdirigeringsadressen og den URL, der vises i Googles søgeresultater, skyldes de specifikke forhold ved opsætning af annoncer i Google AdSense-netværket, hvilket giver mulighed for at angive separate URL'er til visning og omdirigering (hvilket antyder, at omdirigering kan bruge en mellemliggende omdirigering til at evaluere annoncernes effektivitet). Ifølge Googles regler skal den samme URL bruges i annonceenheden og på den sidste side. domæne, men det ser ud til, at overholdelsen af reglerne ikke kontrolleres på forhånd og reguleres i forbindelse med klagebehandling.
Kilde: opennet.ru
