Tim Kaspersky Threat Research telah mengungkap kampanye malware terbaru yang secara cerdik memanfaatkan iklan pencarian berbayar di Google serta fitur berbagi percakapan pada situs resmi ChatGPT untuk menipu pengguna macOS. Serangan ini dirancang untuk mengelabui korban agar secara sukarela menjalankan perintah berbahaya, yang pada akhirnya akan memasang infostealer AMOS (Atomic macOS Stealer) dan backdoor permanen pada perangkat mereka.
Dalam kampanye ini, para penjahat siber membeli iklan bersponsor dengan kata kunci spesifik seperti “chatgpt atlas”. Iklan tersebut kemudian mengarahkan pengguna ke sebuah halaman yang didesain menyerupai panduan instalasi “ChatGPT Atlas untuk macOS” dan dihosting di domain tepercaya, chatgpt.com.
Artikel informatif lainnya dapat dibaca di Mureks mureks.co.id.
Namun, alih-alih dokumentasi resmi, halaman tersebut sebenarnya merupakan percakapan ChatGPT bersama yang telah direkayasa melalui teknik prompt engineering dan disunting. Tujuannya adalah menyisakan instruksi instalasi langkah demi langkah yang tampak meyakinkan.
Vladimir Gursky, Analis Malware di Kaspersky, menjelaskan bahwa panduan palsu tersebut meminta pengguna untuk menyalin satu baris perintah, membuka Terminal macOS, menempelkan perintah itu, lalu memberikan seluruh izin yang diminta sistem.
Menurut analisis Kaspersky, perintah yang diberikan sebenarnya mengunduh dan menjalankan skrip dari domain eksternal atlas-extension[.]com. Skrip ini kemudian berulang kali meminta kata sandi sistem pengguna dan memverifikasinya dengan mencoba menjalankan perintah tingkat sistem. Setelah kata sandi yang benar diperoleh, skrip akan mengunduh dan memasang infostealer AMOS menggunakan kredensial korban, lalu mengeksekusi malware tersebut.
Alur infeksi ini merupakan variasi dari teknik yang dikenal sebagai ClickFix, di mana pengguna dibujuk untuk secara manual menjalankan perintah shell yang mengambil dan mengeksekusi kode dari server jarak jauh.
“Tautan bersponsor mengarah ke halaman yang diformat dengan baik di domain tepercaya, dan panduan instalasi hanyalah satu perintah Terminal,” ujar Gursky, dikutip Mureks, Kamis (8/1/2026).
Setelah instalasi, AMOS akan mengumpulkan data yang dapat dimonetisasi atau digunakan kembali dalam intrusi selanjutnya. Malware ini menargetkan kata sandi, cookie, dan informasi lain dari peramban populer, data dari dompet aset kripto seperti Electrum, Coinomi, dan Exodus, serta informasi dari aplikasi termasuk Telegram Desktop dan OpenVPN Connect.
Perangkat lunak berbahaya itu juga mencari berkas dengan ekstensi TXT, PDF, dan DOCX di folder Desktop, Documents, dan Download, serta berkas yang disimpan oleh aplikasi Notes. Semua data ini kemudian dieksfiltrasi ke infrastruktur yang dikendalikan penyerang.
Secara paralel, serangan tersebut juga menginstal backdoor yang dikonfigurasi untuk berjalan secara otomatis saat perangkat dihidupkan ulang. Ini memberikan akses jarak jauh ke sistem yang telah disusupi dan menduplikasi sebagian besar logika pengumpulan data AMOS.
Gursky menyampaikan, kampanye ini mencerminkan tren yang lebih luas di mana infostealer telah menjadi salah satu ancaman yang paling cepat berkembang pada tahun 2025. Para penyerang secara aktif bereksperimen dengan tema-tema terkait kecerdasan buatan (AI), alat AI palsu, dan konten yang dihasilkan AI untuk meningkatkan kredibilitas umpan mereka.
Gelombang terbaru termasuk sidebar peramban AI palsu dan klien palsu untuk model-model populer, seperti aktivitas bertema Atlas yang memperluas pola ini dengan menyalahgunakan fitur berbagi konten bawaan dari platform AI yang sah.
“Hal yang membuat kasus ini efektif bukanlah eksploitasi canggih, tetapi cara rekayasa sosial yang dibungkus dalam konteks AI yang familiar,” sebut Gursky.
Di tengah kondisi ini, Kaspersky lantas mengimbau masyarakat, terutama pengguna macOS, untuk berhati-hati terhadap “panduan” yang tidak diminta. Terutama panduan yang meminta untuk menjalankan perintah Terminal atau PowerShell, khususnya jika melibatkan menyalin dan menempelkan skrip satu baris dari situs web, dokumen, atau obrolan.
Pengguna disarankan untuk segera menutup halaman atau menghapus pesan yang meminta tindakan tersebut jika instruksinya tidak jelas, dan meminta nasihat dari sumber yang berpengetahuan sebelum melanjutkan. Pertimbangkan untuk menempelkan perintah yang mencurigakan ke platform AI atau alat keamanan terpisah untuk memahami apa yang dilakukan kode tersebut sebelum mengeksekusinya.
Selain itu, tim redaksi Mureks mencatat pentingnya menginstal dan memelihara perangkat lunak keamanan yang bereputasi baik di semua perangkat, termasuk sistem macOS dan Linux, sebagai langkah perlindungan esensial.
Referensi penulisan: teknologi.bisnis.com
