Hãng bảo mật Morphisec (có trụ sở chính tại Hoa kỳ) đã đưa ra khuyến cáo trong bản điều tra của mình về nguồn gốc của các quảng cáo trả phí xuất hiện ngay trang đầu của kết quả tìm kiếm và khiến người dùng tải về các ứng dụng độc hại như AnyDesk, Dropbox và Telegram dưới dạng file ảnh định dạng ISO.

Theo đó, các quảng cáo PPC của Google nhắm mục tiêu vào các IP cụ thể tại Hoa Kỳ và một số quốc gia khác. Các IP không nằm trong tầm ngắm được điều hướng đến các trang hợp pháp để tải về các ứng dụng chính chủ.

Có ba chuỗi tấn công được các nhà nghiên cứu đề cập trong báo cáo điều tra. Hai trong số đó lợi dụng Taurus và mini-Redlineare, sử dụng cùng các mô hình, chứng chỉ và các trung tâm lệnh và điều khiển, chuỗi thứ 3 sử dụng Redline.

Theo các nhà nghiên cứu, tất cả các chuỗi tấn công này đều bắt đầu bằng một trong số hàng chục quảng cáo trả phí của Google dẫn đến một trang web có tải xuống hình ảnh ISO. Kích thước hình ảnh ISO lớn hơn 100MB, cho phép tránh được một số giải pháp rà quét được tối ưu hóa dựa trên lưu lượng và kích thước của file.