May nakitang mga mapanlinlang na ad sa mga resulta ng paghahanap sa Google, na lumalabas sa tuktok ng mga resulta ng paghahanap at naglalayong ipamahagi ang malware sa ilalim ng pagkukunwari ng pag-promote ng libreng graphics editor na GIMP. Ang link ng ad ay idinisenyo upang akayin ang mga user sa opisyal na website ng proyekto, www.gimp.org, ngunit sa katotohanan, nire-redirect sila nito sa mga domain na kinokontrol ng attacker na gilimp.org o gimp.monster.
Ang nilalaman ng mga binuksang site ay kapareho ng orihinal na gimp.org site, ngunit kapag sinusubukang i-download, ang mga ito ay ire-redirect sa Dropbox at Transfer.sh, na naghahatid ng Setup.exe file na naglalaman ng malisyosong code. Ang pagkakaiba sa pagitan ng redirect address at ng URL na ipinapakita sa mga resulta ng paghahanap sa Google ay dahil sa mga detalye ng pag-set up ng mga ad sa Google AdSense network, na nagbibigay-daan sa kakayahang tukuyin ang magkahiwalay na URL para sa pagpapakita at pag-redirect (na nagpapahiwatig na ang pag-redirect ay maaaring gumamit ng isang intermediate redirect upang suriin ang bisa ng ad). Ayon sa mga patakaran ng Google, ang parehong URL ay dapat gamitin sa ad unit at sa huling pahina. domain, ngunit tila ang pagsunod sa mga patakaran ay hindi sinusuri nang maaga at kinokontrol sa antas ng pagtugon sa mga reklamo.
Pinagmulan: opennet.ru
