Enjin carian Google telah mengesan kemunculan entri pengiklanan palsu yang dipaparkan di tempat pertama hasil carian dan bertujuan untuk mengedarkan perisian hasad di bawah samaran mempromosikan editor grafik percuma GIMP. Pautan pengiklanan direka bentuk sedemikian rupa sehingga pengguna tidak ragu-ragu bahawa peralihan akan dibuat ke tapak web rasmi projek www.gimp.org, tetapi sebenarnya ia dimajukan ke domain gilimp.org atau gimp.monster dikawal oleh penyerang.
Kandungan tapak yang dibuka adalah sama seperti tapak gimp.org asal, tetapi apabila cuba memuat turun, ia dihalakan semula ke perkhidmatan Dropbox dan Transfer.sh, yang melaluinya fail Setup.exe dengan kod berniat jahat dihantar. Percanggahan antara alamat peralihan dan URL yang ditunjukkan dalam hasil Google dijelaskan oleh keistimewaan menyediakan iklan dalam rangkaian Google AdSense, di mana adalah mungkin untuk menetapkan URL berasingan untuk paparan dan peralihan (difahamkan bahawa pemajuan perantaraan boleh digunakan untuk peralihan untuk menilai keberkesanan pengiklanan). Dasar Google ialah blok iklan dan halaman pendaratan mesti menggunakan domain yang sama, tetapi pematuhan terhadap peraturan nampaknya tidak disahkan terlebih dahulu dan dikawal pada tahap respons terhadap aduan.
Sumber: opennet.ru