Teknogav.com – Peneliti Kaspersky GReAT menemukan kampanya baru barbahaya yang menyebarkan Trojan melalui aplikasi Large Language Model (LLM) palsu DeepSeek-R1 untuk PC. Malware dikirim melalui situs phishing yang menyamar sebagai situs resmi DeepSeek yang diiklankan melalui Google Ads. Serangan ini bertujuan memasang BrowserVenom, malware yang mengonfigurasi browser di perangkat korban. Browser ini mengirim lalu lintas web melalui server penyerang sehingga dapat mengumpulkan data pengguna, termasuk kredensial dan informasi sensitif lain. Sejumlah infeksi yang berhasil dideteksi terdapat di Brasil, Kuba, Meksiko, India, Nepal, Afrika Selatan dan Mesir.

DeepSeek-R1 merupakan salah satu LLM terpopuler saat ini. Sebelumnya, Kaspersky sudah melaporkan serangan dengan malware yang meniru LLM tersebut untuk memikat korbannya. Penyerang menonjolkan kemampuan DeepSeek yang bisa dijalankan secara offline di PC dengan alat seperti Ollama atau LM Studio dalam kampanyenya. 

Baca juga: Kaspersky Tanggapi Dugaan Insiden Terkait Asisten AI DeepSeek  

Korban yang terpikat akan diarahkan oleh Google Ads ke situs phishing yang meniru alamat platform DeepSeek asli. Tautan tersebut terdapat dalam iklan yang muncul ketika menelusuri ‘deepseek r1’. Ketika tiba di situs DeepSeek palsu, dilakukan pemeriksaan untuk mengidentifikasi sistem operasi korban. Jika korban menggunakan Windows, maka muncul tombol untuk mengunduh alat yang bekerja dengan LLM secara offline. Ketika penelitian ini dilakukan Kaspersky, sistem operasi lain tidak menjadi sasaran serangan tersebut.
 

Situs web berbahaya yang meniru DeepSeek

Ketika korban mengklik tombol dan lulus uji CAPTCHA, maka file penginstal berbahaya diunduh. Korban diberi pilihan untuk mengunduh dan menginstal Ollama atau LM Studio. Malware akan diinstal di sistem bersama dengan penginstal Ollama atau LM Studio resmi. Algoritma khusus pada kampanye ini memungkinkan malware tersebut lolos dari perlindungan Windows Defender. Proses tersebut membutuhkan hak istimewa administrator, jika profil pengguna di Windows tak memiliki hak istimewa tersebut, maka infeksi tidak terjadi.

Setelah malware berhasil diinstal, maka semua peramban web dalam sistem tersebut dikonfigurasi paksa malware menggunakan proxy yang dikendalikan penyerang. Konfigurasi tersebut memungkinkan penyerang memata-matai data penelusuran sensitif dan memantau kegiatan penelusuran korban. Para peneliti Kaspersky menjuluki malware tersebut BrowserVenom karena sifatnya yang memaksa dan bertujuan jahat.

Baca juga: Trojan Downloader TookPS Disebarkan Website Palsu Berkedok Perangkat Lunak Populer  

Dua opsi untuk menginstal kerangka kerja LLM yang disalahgunakan

“Meskipun menjalankan model bahasa besar secara offline menawarkan privasi dan mengurangi ketergantungan pada layanan cloud, hal itu juga dapat menimbulkan risiko besar jika tindakan pencegahan yang tepat tidak dilakukan. Penjahat siber makin mengeksploitasi popularitas alat AI sumber terbuka dengan mendistribusikan paket berbahaya dan penginstal palsu yang dapat secara diam-diam menginstal keylogger, cryptominer, atau infostealer. Alat palsu ini membahayakan data sensitif pengguna dan menimbulkan ancaman, terutama ketika pengguna telah mengunduhnya dari sumber yang tidak terverifikasi,” ucap Lisandro Ubiedo, Peneliti Keamanan di Kaspersky’s GReAT.

Baca juga: Waspada, Pembuatan Kata Sandi oleh AI Berisiko Mudah Dibobol

Tips Aman dari Serangan Malware

Kaspersky memberikan beberapa tips berikut ini agar dapat terhindar dari ancaman siber:

• Periksa alamat situs web untuk memverifikasi keasliannya dan menghindari penipuan
• Unduh alat LLM offline hanya dari sumber resmi (misalnya, ollama.com, lmstudio.ai)
• Gunakan solusi keamanan tepercaya untuk mencegah peluncuran file berbahaya
• Pastikan hasil pencarian internet resmi, bukan iklan yang menyusup
• Hindari menggunakan profil Windows dengan hak istimewa admin

Demikianlah beberapa tips yang diberikan Kaspersky agar pengguna senantiasa aman dari ancaman siber.