Een pas ontdekt botnet berooft Google door de DNS van besmette gebruikers te wijzigen, zodat het allerlei clicks misloopt. Het Bahama botnet stuurt slachtoffers bij het opvragen van Google.com niet naar het IP-adres 74.125.155.99, maar naar 64.86.17.56, een webserver in Canada. Als een besmette gebruiker zoekt op wat hij of zij denkt Google te zijn, loopt dit via de Canadese machine. Die haalt de zoekresultaten wel bij Google op, maar wijzigt die een beetje en toont die vervolgens aan het slachtoffer. De getoonde pagina ziet er precies hetzelfde uit als die van Google, alleen een click op een zoekresultaat wordt via verschillende advertentienetwerken als een betaalde click doorgestuurd.

Google loopt op deze manier clicks en inkomsten mis. De zoekgigant is dan ook het voornaamste slachtoffer van het Bahama botnet, aldus het Click Forensics blog. De onderzoekers noemen het botnet een soort "perverse Robin Hood', die inkomsten van de grote spelers steelt en frauduleus verkeer naar de kleinere advertentienetwerken en uitgevers doorstuurt. Aangezien veel van de 200.000 geparkeerde domeinnamen in de Bahama's staan, heeft het botnet daaraan zijn naam ontleend. De malware is zeer waarschijnlijk van een Oekraïense bende cybercriminelen afkomstig, die ook achter verschillende nep-virusscanners zouden zitten.