زاد المتسللون من إساءة استخدامهم لمنصة إعلانات جوجل لاستهداف المستخدمين الذين يبحثون عن منتجات برمجية شائعة، ومن بين منتجات البرامج التي يتم انتحال صفتها تشمل Grammarly و Slack و Dashlane و Audacity و ITorrent و AnyDesk و Libre Office و Teamviewer و Thunderbird ، وذلك بحسب تقارير Bleeping Computer.
وذكر التقرير أن "الجهات المهددة تقوم باستنساخ المواقع الرسمية للمشاريع المذكورة أعلاه وتوزيع إصدارات فيرودة من البرنامج عندما ينقر المستخدمون على زر التنزيل"، وتساعد منصة إعلانات Google المعلنين في الترويج لصفحات على بحث Google.
ومن المرجح أن ينقر المستخدمون الذين يبحثون عن منتجات برمجية أصلية على متصفح بدون أداة حظر إعلانات نشطة على الروابط الضارة "لأنها تبدو مشابهة جدًا لنتيجة البحث الفعلية"، وأوضح Guardio Labs: "في اللحظة التي يزور فيها زوار مستهدفون هذه المواقع" المخفية "، يقوم الخادم على الفور بإعادة توجيهها إلى الموقع المارق ومن هناك إلى الحمولة الخبيثة".
وإذا اكتشف Google أن موقع الزيارة ضار ، فسيتم حظر الحملة وإزالة الإعلانات، فيما يتم تنزيل مجموعة البرامج الضارة ، التي تأتي في شكل ZIP أو MSI ، من خدمات مشاركة الملفات واستضافة التعليمات البرمجية ذات السمعة الطيبة مثل GitHub أو Dropbox أو CDN الخاص بـ Discord.
وذكر التقرير أن "هذا يضمن أن أي برامج مكافحة فيروسات تعمل على جهاز الضحية لن تعترض على التنزيل"، ولاحظت Guardio Labs مؤخرًا حملة قام فيها ممثل التهديد بإغراء المستخدمين بنسخة تروجان من Grammarly، و تم تضمين البرنامج الضار مع البرنامج الشرعي.