有网友发现，当他使用 Google 搜索开源图像编辑软件 "GIMP" 时，搜索引擎返回的第一条结果是包含广告标记的「GIMP.org」官网。但点击该广告却进入了伪装成 GIMP 的钓鱼网站，而不是真正的官网，它提供下载的是伪装成 GIMP 的 700MB 可执行文件——实际上是恶意软件。

钓鱼网站的域名是 gilimp.org，与真正的官网域名 gimp.org 存在明显区别。BleepingCompuer 还发现了与此活动相关的另一个域名 gimp.monster，并调查了这些网站托管的恶意软件样本，发现它是名为 VIDAR 的信息窃取木马，被设计用于窃取浏览器上储存的密码、cookies、历史和信用卡数据，文件传输应用信息，以及加密货币钱包，Telegram 登陆凭证，等等。

▲ 有问题的 Google 广告将访问者引导至伪装成 GIMP 的钓鱼网站

▲ 虚假的 GIMP 官网 'gilimp.org'

让人感到疑惑的是，为什么 Google 搜索引擎的结果显示了真正的"GIMP.org"域名，但点击后进入的目标域名却是虚假的"gilimp.org"网站。

按照 Google 广告的发布政策，在搜索引擎结果中显示的 URL (display URL) 不需要与实际访问的 URL (landing URL) 保持一致。也就是说 Google 允许广告主使用两个不同的 URL 来创建广告：一个是显示在搜索引擎结果中的 URL，另一个是用户实际访问的最终 URL。

虽然两者不必相同，但谷歌对于 display URL 的允许内容有严格的政策，并且这些政策要求需要使用与 landing URL 相同的主域名。

对于 GIMP 这个案例，BleepingComputer 已联系 Google 求证 Google Ad Manager 是否存在允许恶意广告的潜在错误，目前尚未收到答复。