O motor de busca Google detectou o aparecimento de entradas publicitárias fraudulentas exibidas nos primeiros lugares dos resultados de pesquisa e destinadas a distribuir malware sob o pretexto de promover o editor gráfico gratuito GIMP. O link publicitário está desenhado de forma que os usuários não tenham dúvidas de que a transição será feita para o site oficial do projeto www.gimp.org, mas na realidade é encaminhado para os domínios controlados por gilimp.org ou gimp.monster pelos atacantes.
O conteúdo dos sites que se abrem é igual ao site gimp.org original, mas ao tentar fazer o download é redirecionado para os serviços Dropbox e Transfer.sh, por meio dos quais é enviado o arquivo Setup.exe com código malicioso. A discrepância entre o endereço de transição e a URL mostrada nos resultados do Google é explicada pelas peculiaridades da configuração de anúncios na rede Google AdSense, na qual é possível definir URLs separadas para exibição e transição (entende-se que um encaminhamento intermediário pode ser usado na transição para avaliar a eficácia da publicidade). As regras do Google exigem que o bloco de anúncios e a página final utilizem o mesmo domínio, mas o cumprimento das regras não parece ser pré-verificado e é regulado ao nível da resposta às reclamações.
Fonte: opennet.ru