有网友发现,当他使用 Google 搜索开源图像编辑软件 "GIMP" 时,搜索引擎返回的第一条结果是包含广告标记的「GIMP.org」官网。但点击该广告却进入了伪装成 GIMP 的钓鱼网站,而不是真正的官网,它提供下载的是伪装成 GIMP 的 700MB 可执行文件——实际上是恶意软件。
钓鱼网站的域名是 gilimp.org,与真正的官网域名 gimp.org 存在明显区别。BleepingCompuer 还发现了与此活动相关的另一个域名 gimp.monster,并调查了这些网站托管的恶意软件样本,发现它是名为 VIDAR 的信息窃取木马,被设计用于窃取浏览器上储存的密码、cookies、历史和信用卡数据,文件传输应用信息,以及加密货币钱包,Telegram 登陆凭证,等等。
▲ 有问题的 Google 广告将访问者引导至伪装成 GIMP 的钓鱼网站
▲ 虚假的 GIMP 官网 'gilimp.org'
让人感到疑惑的是,为什么 Google 搜索引擎的结果显示了真正的"GIMP.org"域名,但点击后进入的目标域名却是虚假的"gilimp.org"网站。
按照 Google 广告的发布政策,在搜索引擎结果中显示的 URL (display URL) 不需要与实际访问的 URL (landing URL) 保持一致。也就是说 Google 允许广告主使用两个不同的 URL 来创建广告:一个是显示在搜索引擎结果中的 URL,另一个是用户实际访问的最终 URL。
虽然两者不必相同,但谷歌对于 display URL 的允许内容有严格的政策,并且这些政策要求需要使用与 landing URL 相同的主域名。
对于 GIMP 这个案例,BleepingComputer 已联系 Google 求证 Google Ad Manager 是否存在允许恶意广告的潜在错误,目前尚未收到答复。