Googles søkemotor har oppdaget uredelige annonseoppføringer som vises på de første stedene i søkeresultatene og har som mål å distribuere skadelig programvare under dekke av å markedsføre den gratis grafikkeditoren GIMP. Annonseringslenken er utformet på en slik måte at brukerne ikke er i tvil om at overgangen vil bli gjort til den offisielle nettsiden til prosjektet www.gimp.org, men i realiteten videresendes den til domenene gilimp.org eller gimp.monster kontrollert av angripere.
Innholdet på nettstedene som åpnes er det samme som det originale gimp.org-nettstedet, men når du prøver å laste ned, blir det omdirigert til Dropbox- og Transfer.sh-tjenestene, som Setup.exe-filen med skadelig kode sendes gjennom. Avviket mellom overgangsadressen og nettadressen som vises i Google-resultater forklares av særegenhetene ved å sette opp annonser i Google AdSense-nettverket, der det er mulig å angi separate nettadresser for visning og overgang (det er forstått at en mellomliggende videresending kan brukes for overgangen for å evaluere effektiviteten til annonsering). Googles retningslinjer er at annonseblokkeringen og landingssiden må bruke samme domene, men overholdelse av reglene ser ikke ut til å være forhåndsbekreftet og er regulert på nivået for svar på klager.
Kilde: opennet.ru