Kaspersky mengungkap kampanye malware macOS yang memanfaatkan iklan Google dan fitur berbagi ChatGPT untuk mengelabui pengguna menginstal infostealer AMOS dan backdoor permanen.
Transportasi Media – Kaspersky Threat Research mengungkap kampanye malware terbaru yang menargetkan pengguna macOS dengan memanfaatkan iklan pencarian Google berbayar dan fitur berbagi percakapan ChatGPT. Kampanye ini bertujuan mengelabui pengguna agar secara tidak sadar menginstal infostealer AMOS (Atomic macOS Stealer) serta backdoor permanen di perangkat mereka.
Dalam temuan tersebut, penyerang membeli iklan bersponsor untuk kata kunci seperti “chatgpt atlas” dan mengarahkan pengguna ke halaman di domain resmi chatgpt.com. Halaman tersebut tampak seperti panduan instalasi “ChatGPT Atlas untuk macOS”, namun sebenarnya merupakan percakapan ChatGPT bersama yang dimanipulasi melalui rekayasa prompt dan disunting agar hanya menampilkan instruksi instalasi langkah demi langkah.
Modus ClickFix dan Penyalahgunaan Terminal macOS
Panduan palsu tersebut meminta pengguna menyalin satu baris perintah, membuka Terminal macOS, lalu menempelkan perintah tersebut dan memberikan seluruh izin yang diminta. Analisis Kaspersky menunjukkan bahwa perintah ini mengunduh dan menjalankan skrip berbahaya dari domain eksternal atlas-extension[.]com.
Skrip tersebut berulang kali meminta kata sandi sistem pengguna dan memvalidasinya dengan menjalankan perintah sistem. Setelah kata sandi yang benar dimasukkan, skrip akan mengunduh dan menginstal infostealer AMOS, lalu menjalankannya menggunakan kredensial yang telah dicuri. Teknik ini merupakan variasi dari metode ClickFix, di mana korban dibujuk menjalankan perintah shell secara manual untuk mengeksekusi kode berbahaya dari server jarak jauh.
Data Sensitif Jadi Target Utama
Setelah terpasang, AMOS mengumpulkan berbagai data sensitif yang bernilai ekonomi maupun strategis. Malware ini menargetkan kata sandi, cookie, dan data browser populer, serta informasi dari dompet kripto seperti Electrum, Coinomi, dan Exodus. Selain itu, AMOS juga mencuri data dari aplikasi seperti Telegram Desktop dan OpenVPN Connect.
Malware tersebut turut memindai file berekstensi TXT, PDF, dan DOCX di folder Desktop, Documents, dan Downloads, termasuk data yang tersimpan di aplikasi Notes, sebelum mengeksekusinya ke infrastruktur milik penyerang. Secara paralel, serangan ini memasang backdoor yang otomatis aktif saat sistem dinyalakan ulang, memberikan akses jarak jauh jangka panjang ke perangkat korban.
Tren Ancaman Infostealer Berbasis AI
Kaspersky menilai kampanye ini mencerminkan tren global sepanjang 2025, di mana infostealer menjadi salah satu ancaman siber dengan pertumbuhan tercepat. Para pelaku kejahatan siber semakin sering memanfaatkan tema kecerdasan buatan (AI), alat AI palsu, dan konten hasil AI untuk meningkatkan kredibilitas serangan mereka.
“Yang membuat kasus ini efektif bukan eksploitasi teknis yang canggih, melainkan rekayasa sosial yang dibungkus dalam konteks AI yang familiar,” ujar Vladimir Gursky, Analis Malware di Kaspersky. Menurutnya, kombinasi domain tepercaya, iklan bersponsor, dan instruksi sederhana membuat banyak pengguna lengah terhadap risiko keamanan.
Rekomendasi Keamanan dari Kaspersky
Kaspersky mengimbau pengguna untuk:
- Waspada terhadap panduan yang meminta menjalankan perintah Terminal atau PowerShell, terutama yang melibatkan salin-tempel skrip satu baris.
- Menghentikan proses jika instruksi tidak jelas dan meminta saran dari sumber tepercaya.
- Menganalisis perintah mencurigakan menggunakan alat AI atau keamanan terpisah sebelum dieksekusi.
- Menginstal dan memperbarui perangkat lunak keamanan yang tepercaya di macOS dan Linux, seperti Kaspersky Premium, untuk mendeteksi dan memblokir infostealer. (*)
