У пошуковій системі Google виявлено появу шахрайських рекламних записів, що показуються на перших місцях пошукової видачі та націлених на поширення шкідливого ПЗ, прикриваючись просуванням вільного графічного редактора GIMP. Рекламне посилання оформлене таким чином, що у користувачів не виникає сумнівів, що перехід буде здійснено на офіційний сайт проекту www.gimp.org, але насправді здійснюється прокид на підконтрольні зловмисникам домени gilimp.org або gimp.monster.
Вміст сайтів, що відкриваються, повторює оригінальний сайт gimp.org, але при спробі завантаження здійснюється перенаправлення на сервіси Dropbox і Transfer.sh, через які віддається файл Setup.exe зі шкідливим кодом. Розбіжність адреси переходу та відображуваної у видачі Google URL-адреси пояснюється особливостями налаштування оголошень у мережі Google AdSense, в якій є можливість завдання окремих URL для відображення та переходу (маю на увазі, що для переходу може використовуватися проміжний прокид для оцінки ефективності реклами). За правилами Google у рекламному блоці та на фінальній сторінці повинен використовуватися один домен, але, судячи з усього, дотримання правил попередньо не перевіряється та регулюється на рівні реакції на скарги.
Джерело: opennet.ru