Малварь в рекламе от Гугла

В Гугле была замечена занятная реклама Гимпа. В ней пользователь видит ссылку на актуальный сайт редактора, но вместо него попадает на подставной с доменным именем gilimp.org. А на фейковом сайте вместо редактора Gimp юзер получает раздутый до 700 метров инфостилер VIDAR. Всё это удачно совпало с масштабной тайпсквот-кампанией по распространению этого инфостилера, в которой были имперсонизированы более 200 сайтов известных брендов софта.

Интереснее всего, как злоумышленникам удалось вставить в рекламу легитимный адрес сайта вместо того, по которому пользователь попадает на самом деле. Звучали предположения, что это результат атаки на омографах IDN, но это кажется маловероятным. Помимо этого, гугл позволяет отображать в объявлении URL, отличающийся от того, по которому юзер окажется на деле. Но они оба должны быть на одном домене, что, очевидно, не случай с Gimp. Результат ли это всё бага или недосмотра в Google Ad Manager, не ясно. Пока можно только сказать: «Спасибо, Гугл, очень круто». И поставить адблокер.