חיפוש GIMP בגוגל הציג בשבוע שעבר למשתמשי מנוע החיפש מודעה עבור GIMP.org – האתר הרשמי של העורך הגרפי הידוע GNU Image Manipulation Program. מודעה זו נראתה לגיטימית מכיוון שהיא מציגה את GIMP.org כדומיין היעד, אולם לחיצה על המודעה הביאה את המבקרים לאתר דיוג שסיפק להם קובץ הפעלה של 700 מגה, Setup.exe זדוני שנראה כי הוא תוכנת ההורדה של GIMP עבור Windows, כשלמעשה היה נוזקה. כדי להעביר למשתמש את קובץ ההפעלה הטרויאני כ- GIMP באופן אמין, ניפחו מפעילי הנוזקה באופן מלאכותי את קובץ ההפעלה הזדוני שגודלו פחות מ- 5 MB, לכדי 700 MB על ידי טכניקה פשוטה הידועה בשם ריפוד בינארי. אנשי BleepingComputer השיגו עותק של קובץ ההפעלה הזדוני ומאשרים שזהו טרויאני גניבת מידע בשם VIDAR.
גוגל מאפשרת לבעלי אתרים ליצור מודעות עם שתי כתובות אתרים שונות: כתובת אתר שתוצג במודעה וכתובת עמוד נחיתה שאליו יועבר בפועל המשתמש לאחר שילחץ על המודעה. שתי הכתובות לא חייבות להיות זהות, אולם קיימת לגוגל מדיניות קפדנית סביב מה שמותר כשמדובר בכתובות אתרים לתצוגה ואלו צריכות להשתמש באותו דומיין כמו כתובת דף הנחיתה. "מפרסמים משתמשים בכתובת אתר של דף נחיתה כדי לשלוח אנשים לאזור מסוים באתר שלהם", מסבירה גוגל. "כתובות האתרים של המודעות צריכות לתת ללקוחות מושג ברור לאיזה דף הם יגיעו כאשר הם ילחצו על מודעה. מסיבה זו, המדיניות של גוגל היא שכתובות האתרים לתצוגה וגם של דפי הנחיתה צריכות להיות בתוך אותו אתר. המשמעות היא שכתובת האתר לתצוגה במודעה צריכה להתאים לדומיין שבו מבקרים נוחתים כשהם לוחצים על המודעה." עדיין לא ברור אם המקרה הזה נגרם על ידי באג פוטנציאלי ב- Google Ad Manager שאיפשר התעלמות מהמדיניות. BleepingComputer פנתה לגוגל לקבלת תגובה.
הנתונים שגרסאות VIDAR מנסות לגנוב ממכונות נגועות כוללות: כל מידע הדפדפן כגון סיסמאות, קובצי Cookie, היסטוריה ופרטי כרטיסי אשראי, ארנקי מטבעות קריפטו, קבצים לפי מחרוזות regex, אישורי טלגרם עבור גרסאות Windows, מידע על יישום העברת קבצים (WINSCP, FTP, FileZilla), מידע על יישום דואר. מתקפות דיוג אחרות של דומיינים המשתמשים ב- VIDAR כוונו למשתמשים של לפחות 27 מוצרי תוכנה כגון Notepad++, Microsoft Visual Studio ודפדפן Brave.
