一位希望下载并安装免费图像编辑器 GIMP 的 Reddit 用户发现了一个狡猾的恶意软件活动，该活动使用上下文谷歌搜索广告来诱骗毫无戒心的用户安装RedLine 窃取恶意软件。发现并报告此活动的用户自己几乎成了它的牺牲品，直到 Windows Defender 让他在单击 GIMP 的第一个搜索结果后运行他下载的可执行文件时三思而后行。事实证明，最热门的搜索结果是一则广告，该广告将用户引导至 GIMP 官方网站的恶意克隆，尽管结果被列为“gimp.org”，这是官方网站的域名。

威胁行为者用来分发恶意软件的一种方法称为SEO 中毒，其中 SEO 代表搜索引擎优化。SEO 中毒利用各种 SEO 技术，例如用大量关键字填充网页的源代码，以提高恶意网站在搜索结果中的排名。如果威胁者设法以这种方式操纵搜索结果并将恶意网站放置在搜索结果顶部附近，则用户可能会访问恶意网站并下载恶意软件而没有意识到。然而，这个新发现的恶意软件活动表明，威胁行为者不需要使用 SEO 策略将恶意网站放在搜索结果的顶部，如果他们可以向谷歌支付费用来为他们这样做。

在向谷歌报告恶意广告之前，Reddit 用户发现在谷歌搜索“gimp”会返回一组列表，顶部似乎是免费图片编辑器的官方广告。该广告甚至包含官方网站的域名gimp.org，以及与广告正下方的官方网站列表相同的描述。

但是，该广告并未将用户引导至 GIMP 官方网站，而是将用户引导至域名拼写错误的恶意 GIMP 网站副本。最有可能的是，上下文广告实际上是由威胁行为者提交给谷歌的，而不是 GIMP 开发团队中的某个人。

最初，点击恶意网站下载按钮的用户会被发送到 Dropbox 以下载名为“Setup.exe”的可执行文件。在将该文件上传到 VirusTotal 并发现其中包含恶意软件后，发现该计划的 Reddit 用户向 Google 报告了该广告为恶意广告，并提示该公司终止该广告。

恶意软件活动背后的威胁行为者随后通过简单地提交另一个视觉上相同的广告来做出回应，该广告将用户重定向到 GIMP 网站的恶意克隆，其域名具有不同的 gimp.org 拼写错误。第二个恶意网站上的下载按钮不是将用户发送到 Dropbox，而是将用户发送到一个与 GIMP 官方网站上的合法下载页面几乎相同的下载页面。

此网页上的 GIMP for Windows 下载按钮从 Discord 内容交付网络 (CDN) 获取恶意 Setup.exe 文件，同时将用户重定向到官方 GIMP 网站上的教程页面。这个更新的下载过程看起来比随机的 Dropbox 下载页面更值得信赖，但下载的文件同样具有恶意。运行此可执行文件会安装 RedLine 窃取恶意软件，该恶意软件会从受感染系统收集有价值的信息，然后将其上传到由威胁参与者操作的命令和控制 (C2) 服务器。

为了避免被这样的骗局所迷惑，用户在下载软件之前应该检查地址栏中的域名，以确保他们访问的是合法网站。许多软件开发人员还在他们的网站上提供哈希值，用户可以在运行下载文件之前检查下载文件的哈希值，以验证下载文件的完整性。在这个伪造的 GIMP 活动中，攻击者几乎逐字复制了官方 GIMP 网站，在下载页面上留下了正确的哈希值。任何人根据网站上列出的哈希值检查恶意可执行文件都会发现总和不匹配，这表明他的文件不合法。检查哈希值似乎是一个乏味的额外步骤。