Le moteur de recherche Google a détecté l'apparition d'entrées publicitaires frauduleuses affichées aux premiers endroits des résultats de recherche et visant à diffuser des logiciels malveillants sous couvert de promotion de l'éditeur graphique gratuit GIMP. Le lien publicitaire est conçu de telle manière que les utilisateurs n'ont aucun doute sur le fait que la transition se fera vers le site officiel du projet www.gimp.org, mais en réalité il est redirigé vers les domaines contrôlés par gilimp.org ou gimp.monster par les assaillants.
Le contenu des sites qui s'ouvrent est le même que celui du site gimp.org d'origine, mais lors de la tentative de téléchargement, il est redirigé vers les services Dropbox et Transfer.sh, via lesquels le fichier Setup.exe contenant le code malveillant est envoyé. L'écart entre l'adresse de transition et l'URL affichée dans les résultats Google s'explique par les particularités de la mise en place d'annonces dans le réseau Google AdSense, dans lequel il est possible de définir des URL distinctes pour l'affichage et la transition (il est entendu qu'une redirection intermédiaire peut être utilisé pour la transition afin d'évaluer l'efficacité de la publicité). La politique de Google est que le bloc d'annonces et la page de destination doivent utiliser le même domaine, mais le respect des règles ne semble pas être pré-vérifié et est réglementé au niveau de la réponse aux plaintes.
Source: opennet.ru