Il motore di ricerca Google ha rilevato la comparsa di messaggi pubblicitari fraudolenti visualizzati nei primi posti dei risultati di ricerca e volti a diffondere malware con il pretesto di promuovere l'editor grafico gratuito GIMP. Il collegamento pubblicitario è progettato in modo tale che gli utenti non abbiano dubbi che il passaggio avverrà al sito ufficiale del progetto www.gimp.org, ma in realtà viene inoltrato ai domini controllati da gilimp.org o gimp.monster dagli aggressori.
Il contenuto dei siti che si aprono è lo stesso del sito originale gimp.org, ma quando si tenta di scaricarlo viene reindirizzato ai servizi Dropbox e Transfer.sh, attraverso i quali viene inviato il file Setup.exe con codice dannoso. La discrepanza tra l'indirizzo di transizione e l'URL mostrato nei risultati di Google si spiega con le peculiarità dell'impostazione degli annunci nella rete Google AdSense, in cui è possibile impostare URL separati per la visualizzazione e la transizione (resta inteso che un inoltro intermedio può essere utilizzato durante la transizione per valutare l'efficacia della pubblicità). La politica di Google prevede che il blocco degli annunci e la landing page utilizzino lo stesso dominio, ma il rispetto delle regole non sembra essere pre-verificato ed è regolato a livello di risposta ai reclami.
Fonte: opennet.ru