Гугл претраживач је открио појаву лажних рекламних уноса који се приказују на првим местима резултата претраге и имају за циљ ширење малвера, кријући се иза промоције бесплатног графичког уређивача ГИМП. Рекламна веза је осмишљена тако да корисници не сумњају да ће прелазак бити извршен на званичну веб страницу пројекта ввв.гимп.орг, а заправо је прослеђен на домене гилимп.орг или гимп.монстер контролишу нападачи.
Садржај отворених сајтова је идентичан оригиналном сајту gimp.org, али приликом покушаја преузимања, преусмеравају се на Dropbox и Transfer.sh, који достављају датотеку Setup.exe која садржи злонамерни код. Неслагање између адресе преусмеравања и URL-а приказаног у резултатима Google претраге је због специфичности подешавања огласа у Google AdSense мрежи, која омогућава могућност навођења одвојених URL-ова за приказ и преусмеравање (што имплицира да преусмеравање може користити средње преусмеравање за процену ефикасности огласа). Према Google-овим правилима, исти URL мора се користити у огласној јединици и на последњој страници. domena, али изгледа да се поштовање правила не проверава унапред и да је регулисано на нивоу одговора на жалбе.
Извор: опеннет.ру
