Kaspersky telah mengungkap kampanye terbaru malware Atomic macOS Stealer (AMOS) yang secara cerdik menargetkan pengguna perangkat macOS. Serangan ini memanfaatkan kombinasi iklan pencarian berbayar di Google dan halaman percakapan ChatGPT yang dimanipulasi untuk memancing korban.
Mureks mencatat bahwa modus operandi canggih ini dirancang untuk membujuk pengguna agar menjalankan perintah Terminal berbahaya, yang berujung pada instalasi infostealer dan penanaman backdoor permanen di sistem mereka.
Mureks menghadirkan beragam artikel informatif untuk pembaca. mureks.co.id
Modus Operandi: Google Ads dan Manipulasi ChatGPT
Tim Kaspersky Threat Research baru-baru ini menemukan skema kejahatan siber yang sangat terstruktur ini. Penyerang membeli iklan bersponsor di Google Search menggunakan kata kunci spesifik seperti “chatgpt atlas” untuk menarik perhatian pengguna yang mencari alat AI.
Iklan tersebut kemudian mengarahkan korban ke halaman yang tampak seperti panduan instalasi resmi untuk “ChatGPT Atlas untuk macOS”. Meskipun di-host pada domain tepercaya chatgpt.com, halaman ini sebenarnya adalah percakapan ChatGPT bersama yang telah direkayasa melalui teknik prompt engineering dan penyuntingan.
Proses Infeksi: Dari Perintah Terminal hingga Pencurian Data
Halaman yang dimanipulasi ini menampilkan instruksi instalasi palsu langkah demi langkah. Vladimir Gursky, Analis Malware di Kaspersky, menjelaskan bahwa panduan palsu tersebut meminta pengguna untuk menyalin satu baris perintah spesifik.
Setelah menyalin, korban diinstruksikan untuk membuka Terminal macOS, menempelkan perintah tersebut, dan segera memberikan seluruh izin sistem yang diminta. Kaspersky menganalisis bahwa perintah tunggal yang dijalankan korban sebenarnya mengunduh dan menjalankan skrip dari domain eksternal berbahaya, yakni atlas-extension[.]com.
Skrip berbahaya itu berulang kali meminta kata sandi sistem pengguna. Skrip kemudian memverifikasi kredensial dengan mencoba menjalankan perintah tingkat sistem yang hanya bisa diakses dengan izin penuh. Setelah kata sandi yang benar diperoleh, skrip tersebut segera mengunduh dan memasang infostealer AMOS.
Malware AMOS dieksekusi menggunakan kredensial korban, memastikan bahwa infeksi berjalan mulus tanpa terdeteksi dan dapat mencuri data sensitif. Serangan ini menyoroti bahaya baru dalam lanskap keamanan siber, di mana penjahat memanfaatkan platform tepercaya dan rekayasa sosial canggih untuk mengelabui korban. Pengguna macOS diimbau untuk selalu waspada terhadap tautan iklan mencurigakan dan instruksi instalasi yang tidak biasa, terutama yang meminta izin sistem secara luas.
