Haittaohjelmat leviävät Google Ads -alustan kautta kiihtyvällä tahdilla. Hakkerit kohdentavat toimintansa käyttäjiin, jotka etsivät hakukoneella tietoa suosituista ohjelmistoista. Apuna käytetään kloonattuja valesivuja, joita nostetaan hakutuloksissa korkealle Google Adsin avulla.
Bleeping Computerin mukaan väärennettyjä sivustoja on tehty ainakin Grammarlysta, MSI Afterburnerista, Slackista, Dashlanesta sekä Malwarebytesistä. Muita väärennöksen uhreja ovat μTorrent, OBS, Ring, AnyDesk, LibreOffice, Teamviewer, Thunderbird ja Brave.
Kloonatut verkkosivut muistuttavat aitoja, mutta ohjelmistoa ladatessa käyttäjän koneelle ui tietoja varastava troijalainen. Valesivustojen kautta leviää muun muassa versioita Raccoon Stealerista ja RedLine-haittaohjelmasta. Haittaohjelmien leviämisestä valesivujen kautta on saatu tietoa aiemminkin, mutta niiden kytkökset Google Adsiin paljastuivat vasta nyt.
Google Ads nostaa mainostetut sivustot korkealle hakutuloksissa, jolloin käyttäjät klikkaavat niitä muita helpommin. Google pyrkii kuitenkin tunnistamaan ja estämään haitalliset sivustot mainoksista. Tietoturvayhtiöt Guardio ja TrendMicro ovat kuitenkin havainneet hakkereiden kiertävän Googlen turvajärjestelmiä.
Sivujen estämisen välttääkseen hakkereiden mainokset vievät käyttäjän täysin epäolennaiselle sivustolle. Tämä sivu ohjaa käyttäjät oikealle valesivulle, jossa haittaohjelma latautuu valeohjelmiston muodossa.
Hyvä tapa säästyä tämänkaltaisilta haittakampanjoilta on käyttää mainokset estävää ohjelmaa, joka karsii ne pois Googlen hakutuloksista. Myös verkkotunnusten kanssa tulee olla tarkkana.