Kaspersky Threat Research baru-baru ini mengidentifikasi kampanye malware berbahaya yang memanfaatkan popularitas kecerdasan buatan untuk mengelabui pengguna macOS. Para penyerang menggunakan iklan pencarian Google berbayar dan fitur berbagi percakapan di situs resmi ChatGPT guna menyebarkan infostealer bernama AMOS (Atomic macOS Stealer).
Modus operandi ini sangat licik karena membungkus ancaman keamanan dalam konteks teknologi yang sedang tren, sehingga menurunkan tingkat kewaspadaan pengguna. Melalui teknik rekayasa sosial yang matang, penyerang mencoba meyakinkan korban bahwa mereka sedang menginstal alat AI sah, padahal kenyataannya mereka sedang membuka pintu bagi peretas untuk menguasai sistem secara permanen.
Eksploitasi Fitur Berbagi Konten pada Platform Sah
Dalam kampanye ini, penyerang membeli iklan bersponsor untuk kata kunci seperti "chatgpt atlas" yang mengarahkan korban ke halaman ChatGPT yang terlihat autentik. Halaman tersebut sebenarnya adalah percakapan bersama yang telah dimanipulasi melalui rekayasa prompt sehingga hanya menampilkan instruksi instalasi langkah demi langkah.
Pengguna kemudian diminta untuk menyalin satu baris kode dan menjalankannya melalui Terminal di macOS serta memberikan semua izin sistem yang diminta. Teknik ini dikenal sebagai variasi dari metode ClickFix, di mana keberhasilan infeksi tidak bergantung pada celah keamanan perangkat lunak yang rumit, melainkan pada kemauan pengguna untuk mengeksekusi perintah berbahaya secara manual.
Mekanisme Pencurian Kredensial dan Validasi Kata Sandi
Analisis mendalam menunjukkan bahwa perintah yang dijalankan di Terminal akan mengunduh skrip dari domain eksternal berbahaya. Skrip tersebut dirancang untuk meminta kata sandi sistem pengguna secara berulang-ulang dan melakukan validasi secara otomatis untuk memastikan kredensial yang diberikan benar. Setelah mendapatkan akses yang valid, skrip tersebut akan mengunduh dan memasang infostealer AMOS ke dalam sistem.
Penggunaan kredensial sistem yang dicuri memungkinkan malware untuk berjalan dengan hak akses penuh, sehingga proses instalasi dan peluncuran kode jahat dapat dilakukan tanpa hambatan dari sistem perlindungan internal macOS.
Target Data Sensitif dan Instalasi Backdoor Permanen
Setelah terpasang, AMOS akan bekerja secara agresif mengumpulkan berbagai data yang dapat dimonetisasi oleh penyerang. Target utamanya meliputi kata sandi, cookie browser, hingga informasi dompet aset kripto seperti Electrum dan Exodus. Selain itu, malware ini memindai file sensitif dengan ekstensi TXT, PDF, dan DOCX di folder pengguna serta mengakses catatan pada aplikasi Notes.
Secara paralel, serangan ini juga memasang backdoor permanen yang dikonfigurasi untuk berjalan otomatis setiap kali komputer melakukan reboot. Hal ini memberikan akses jarak jauh jangka panjang bagi penyerang untuk menduplikasi data atau melakukan intrusi lebih lanjut di masa depan.
Tren Ancaman Berbasis Konten AI di Tahun 2025-2026
Kampanye ini mencerminkan tren keamanan yang lebih luas di mana infostealer menjadi salah satu ancaman dengan pertumbuhan tercepat sejak tahun 2025. Para penyerang secara aktif bereksperimen dengan konten yang dihasilkan oleh AI untuk meningkatkan kredibilitas umpan mereka, mulai dari bilah sisi browser AI palsu hingga klien model AI populer yang tidak resmi.
Penyalahgunaan fitur berbagi konten dari platform AI yang sah seperti ChatGPT menjadi strategi baru yang sangat efektif karena memanfaatkan domain terpercaya untuk menyembunyikan instruksi berbahaya. Kesederhanaan panduan yang hanya melibatkan satu perintah Terminal sering kali cukup untuk melewati logika pertahanan pengguna yang kurang berpengalaman.
Pax Insight
Menanggapi ancaman ini, kami sangat menyarankan agar pengguna selalu berhati-hati terhadap panduan instalasi yang meminta eksekusi perintah di Terminal atau PowerShell. Sangat tidak disarankan untuk menyalin dan menempelkan skrip satu baris dari sumber yang tidak jelas, meskipun berada di domain yang tampak tepercaya.
Jika instruksi instalasi terasa mencurigakan atau tidak lazim, sebaiknya pengguna mencari informasi tambahan dari sumber resmi atau pakar keamanan sebelum melanjutkan. Pengguna juga dapat memanfaatkan platform AI lain untuk menganalisis baris kode tersebut guna memahami fungsi sebenarnya sebelum benar-benar dijalankan di perangkat pribadi.
Selain kewaspadaan individu, pemasangan perangkat lunak keamanan yang memiliki reputasi baik sangat dianjurkan untuk mendeteksi dan memblokir muatan berbahaya secara real-time. Solusi keamanan modern saat ini kebanyakan sudah mampu memberikan perlindungan berlapis, tidak hanya pada sistem Windows tetapi juga pada sistem macOS dan Linux yang kini semakin sering menjadi target.
Pemeliharaan sistem secara rutin dan penggunaan fitur keamanan bawaan perangkat harus dikombinasikan dengan edukasi mengenai ancaman siber terbaru. Dengan memahami cara kerja rekayasa sosial berbasis AI, pengguna dapat lebih terlindungi dari upaya pencurian informasi yang semakin canggih dan manipulatif di era digital saat ini.
