Er is een nieuwe aanval ontdekt waarbij cybercriminelen duizenden websites hebben gehackt, om internetgebruikers vervolgens via Google met nep-virusscanners op te zadelen. De aanvallers hebben alleen voor Google gekozen, aangezien de gehackte sites niet via Bing en Yahoo!'s Site Explorer zijn te vinden. "Dat suggereert dat Google de enige grote zoekmachine is die deze cybercriminelen als aanvalsvector inzetten", aldus beveiligingsbedrijf Cyveillance. Een mogelijke reden is dat de aanvallers Google's ondersteuning van .xml sitemaps hebben gebruikt om de zoekmachine te "stimuleren".

Op de gehackte websites installeren de aanvallers een blog. In sommige gevallen gaat het om kwetsbare versies van de fotogalerij software Coppermine, die de aanvallers toegang geeft. De geïnstalleerde blogs genereren automatisch nieuwe berichten met de namen van bekende personen. Een zoekopdracht naar deze blogs leverde meer dan 260.000 URL's op. De aanval werkt alleen als bezoekers via Google langskomen, iets wat de blogs aan de hand van de HTTP referrer controleren. Is dit het geval, dan verschijnt er een popup die waarschuwt dat het systeem met malware is geïnfecteerd en vermeldt tevens het IP-adres van de gebruiker. Zodra de gebruiker op de waarschuwing klikt, wordt er een .exe bestand gedownload.