De zoekmachine van Google heeft de verschijning van frauduleuze reclame-items gedetecteerd die op de eerste plaats van de zoekresultaten worden weergegeven en gericht zijn op het verspreiden van malware onder het mom van het promoten van de gratis grafische editor GIMP. De advertentielink is zo ontworpen dat gebruikers er geen twijfel over hebben dat de overgang zal plaatsvinden naar de officiële website van het project www.gimp.org, maar in werkelijkheid wordt deze doorgestuurd naar de domeinen die door gilimp.org of gimp.monster worden beheerd door aanvallers.
De inhoud van de sites die worden geopend is dezelfde als die van de originele gimp.org-site, maar bij een downloadpoging wordt deze doorgestuurd naar de services Dropbox en Transfer.sh, waardoor het bestand Setup.exe met kwaadaardige code wordt verzonden. De discrepantie tussen het transitieadres en de URL die wordt weergegeven in de Google-resultaten wordt verklaard door de eigenaardigheden van het opzetten van advertenties in het Google AdSense-netwerk, waarin het mogelijk is om afzonderlijke URL's in te stellen voor weergave en transitie (het is duidelijk dat een tussentijdse doorsturing kan worden gebruikt voor de transitie om de effectiviteit van reclame te evalueren). Het beleid van Google is dat het advertentieblok en de landingspagina hetzelfde domein moeten gebruiken, maar de naleving van de regels lijkt niet vooraf geverifieerd en wordt geregeld op het niveau van de reactie op klachten.
Bron: opennet.ru