Die Suchmaschine Google hat das Auftauchen betrügerischer Werbeeinträge entdeckt, die an den ersten Stellen der Suchergebnisse angezeigt wurden und darauf abzielten, unter dem Deckmantel der Werbung für den kostenlosen Grafikeditor GIMP Schadsoftware zu verbreiten. Der Werbelink ist so gestaltet, dass Nutzer keinen Zweifel daran haben, dass der Übergang auf die offizielle Website des Projekts www.gimp.org erfolgt, in Wirklichkeit wird er jedoch auf die kontrollierten Domains gilimp.org bzw. gimp.monster weitergeleitet durch Angreifer.
Der Inhalt der geöffneten Websites ist derselbe wie auf der ursprünglichen Website von gimp.org. Beim Versuch, ihn herunterzuladen, wird er jedoch zu den Diensten Dropbox und Transfer.sh umgeleitet, über die die Datei Setup.exe mit Schadcode gesendet wird. Die Diskrepanz zwischen der Übergangsadresse und der in den Google-Ergebnissen angezeigten URL erklärt sich aus den Besonderheiten der Einrichtung von Anzeigen im Google AdSense-Netzwerk, in dem es möglich ist, separate URLs für Anzeige und Übergang festzulegen (es versteht sich, dass eine Zwischenweiterleitung möglich ist). werden für den Übergang zur Bewertung der Werbewirksamkeit herangezogen). Die Richtlinien von Google sehen vor, dass der Anzeigenblock und die Zielseite dieselbe Domain verwenden müssen, die Einhaltung der Regeln scheint jedoch nicht vorab überprüft zu werden und wird auf der Ebene der Reaktion auf Beschwerden geregelt.
Source: opennet.ru