Поиск по запросу «GIMP» во всемирно известном поисковике еще недавно показывал в выдаче, стоящую на первом месте ссылку, ведущую к инсталлятору шпионского ПО.
Рекламная кампания вредоносного программного обеспечения приводила посетителей на поддельную страницу с вредоносным файлом .exe, который выглядел как утилита GIMP для Windows. Поддельный сайт в целом выглядел очень похожим на оригинальный, и поэтому многие посетители скачивали зловред, содержащийся в исполняемом файле размером 700 мегабайт. Чтобы ввести пользователей в заблуждение и выдать троян за исполняемый файл, злоумышленники искусственно увеличили размер вредоносного ПО.
Остается непонятным, почему в объявлении Google в качестве целевого домена показывался «gimp.org», в то время как объявление фактически приводило пользователей на поддельный сайт «gilimp.org». Существует мнение что это является ошибкой платформы Google Ad Manager, которая и допустила публикацию ложной рекламы.
Скачиваемый зловред, предназначенный для кражи информации был идентифицирован как троян VIDAR. После инсталляции в компьютер жертвы, он подключается к своему серверу управления и контроля и ожидает дальнейших инструкций. Обычно он предназначается для кражи информации из браузера, паролей, истории посещений и данных кредитных карт, а также паролей к криптовалютным кошелькам.