Wyszukiwarka Google wykryła pojawienie się fałszywych wpisów reklamowych wyświetlanych na pierwszych miejscach wyników wyszukiwania i mających na celu dystrybucję złośliwego oprogramowania pod przykrywką promowania bezpłatnego edytora graficznego GIMP. Link reklamowy jest zaprojektowany w taki sposób, aby użytkownicy nie mieli wątpliwości, że nastąpi przejście na oficjalną stronę projektu www.gimp.org, ale w rzeczywistości jest on przekazywany do domeny kontrolowanej przez gilimp.org lub gimp.monster przez napastników.
Zawartość otwieranych witryn jest taka sama, jak oryginalna witryna gimp.org, jednak przy próbie pobrania następuje przekierowanie do usług Dropbox i Transfer.sh, przez które wysyłany jest plik Setup.exe ze złośliwym kodem. Rozbieżność pomiędzy adresem przejścia a adresem URL pokazywanym w wynikach Google wynika ze specyfiki konfiguracji reklam w sieci Google AdSense, w której możliwe jest ustawienie oddzielnych adresów URL do wyświetlania i przejścia (przyjmuje się, że przekierowanie pośrednie może zostać wykorzystane w okresie przejściowym do oceny skuteczności reklamy). Reguły Google wymagają, aby jednostka reklamowa i strona końcowa korzystały z tej samej domeny, ale zgodność z zasadami nie wydaje się być wstępnie zweryfikowana i jest regulowana na poziomie odpowiedzi na reklamacje.
Źródło: opennet.ru