В поисковой системе Google выявлено появление мошеннических рекламных записей, показываемых на первых местах поисковой выдачи и нацеленных на распространение вредоносного ПО, прикрываясь продвижением свободного графического редактора GIMP. Рекламная ссылка оформлена таким образом, что у пользователей не возникает сомнений, что переход будет осуществлён на официальный сайт проекта www.gimp.org, но на деле осуществляется проброс на подконтрольные злоумышленникам домены gilimp.org или gimp.monster.
Содержимое указанных сайтов повторяет оригинальный сайт gimp.org, но при попытке загрузки осуществляется перенаправление на сервис Dropbox, через который отдаётся exe-файл с вредоносным кодом. Несовпадение адреса перехода и показываемого в выдаче Google URL объясняется возможностью задания отдельных URL для отображения и перехода (подразумевается, что для перехода может использоваться промежуточный проброс для оценки эффективности рекламы).
