De zoekmachine van Google heeft de verschijning van frauduleuze reclame-items gedetecteerd die op de eerste plaats van de zoekresultaten worden weergegeven en gericht zijn op het verspreiden van malware onder het mom van het promoten van de gratis grafische editor GIMP. De advertentielink is zo ontworpen dat gebruikers er geen twijfel over hebben dat de overgang zal plaatsvinden naar de officiële website van het project www.gimp.org, maar in werkelijkheid wordt deze doorgestuurd naar de domeinen die door gilimp.org of gimp.monster worden beheerd door aanvallers.
De inhoud van de geopende sites is identiek aan die van de originele gimp.org-site, maar bij het downloaden worden gebruikers doorgestuurd naar Dropbox en Transfer.sh, die het bestand Setup.exe met schadelijke code leveren. De discrepantie tussen het doorverwijsadres en de URL die in de Google-zoekresultaten wordt weergegeven, is te wijten aan de specifieke instellingen voor advertenties in het Google AdSense-netwerk. Dit netwerk biedt de mogelijkheid om aparte URL's op te geven voor weergave en doorverwijzing (wat impliceert dat doorverwijzing mogelijk een tussenliggende doorverwijzing gebruikt om de effectiviteit van de advertentie te evalueren). Volgens de regels van Google moet dezelfde URL worden gebruikt in de advertentie-eenheid en op de uiteindelijke pagina. domeinnaamMaar het lijkt erop dat de naleving van de regels niet van tevoren wordt gecontroleerd en pas wordt gereguleerd wanneer er op klachten wordt gereageerd.
Bron: opennet.ru
