Fitur Berbagi Obrolan ChatGPT Jadi Pintu Infostealer AMOS untuk Menyusup

Teknogav.com – Iklan pencarian Google berbayar dan percakapan bersama di situs web resmi ChatGPT menjadi modus kampanye malware untuk mengelabui pengguna Mac. Calon korban akan dijebak untuk menjalankan perintah yang menginstal infostealer Atomic macOS Stealer (AMOS) dan backdoor permanen pada perangkat mereka. Pelaku ancaman membeli iklan pencarian bersponsor untuk kuori tertentu seperti “chatgpt atlas”. Iklan tersebut kemudian mengarahkan ke halaman yang terlihat seperti panduan instalasi “ChatGPT Atlas untuk macOS” yang dihosting di chatgpt.com.

Halaman tersebut sebenarnya adalah percakapan ChatGPT bersama yang dihasilkan melalui rekayasa prompt. Percakapan tersebut kemudian disanitasi sehingga hanya menyisakan instruksi “instalasi” langkah demi langkah. Panduan tersebut meningstruksikan korban untuk menyalin satu baris kode, membuka Terminal di macOS, menempelkan perintah dan memberi semua izin yang diminta.

Peneliti Kaspersky yang menemukan kampanye tersebut mengungkapkan bahwa perintah yang ditempelkan akan mengunduh dan menjalankan skrip dari domain ksternal atlas-extention[.]com. Skrip tersebut meminta pengguna memasukkan kata sandi sistem mereka berulang kali. Kata sandi tersebut kemudian divalidasi dengan mencoba menjalankan perintah sistem. Setelah kata sandi yang benar diberikan, skrip akan mengunduh infostealer AMPS, menggunakan kredensial yang dicuri untuk menginstal dan meluncurkan malware.

Alur infeksi tersebut merupakan variasi dari teknik yang disebut ClickFix. Varian ini akan membujuk korban untuk menjalankan perintah shell secara manual. Perintah tersebut akan memungkinkan pelaku ancaman mengambil dan menjalankan kode dari server jarak jauh. Setelah AMOS berhasil diinstal, malware tersebut akan mengumpulkan data yang dapat dimonetisasi atau digunakan kembali dalam intrusi selanjutnya.

Sasaran dari malware tersebut adalah kata sandi, cookie, dan informasi lain dari browser populer, Telegram Dekstop dan OpenVPN Connect. Selain itu, data dari dompet aset kripto seperti Electrum, Coinomi dan Exodus juga ikut diambil. Data lain yang diincar adalah file dengan ekstensi TXT, PDF, dan DOCX di folder “Desktop”, “Documents”, dan” Downloads”, serta file yang disimpan oleh aplikasi “Notes”. Kemudian data tersebut dieksfiltrasi ke infrastruktur yang dikendalikan penyerang.

Serangan tersebut juga menginstal backdoor yang dikonfigurasi secara bersamaan. Backdoor tersebut akan berjalan otomatis saat reboot yang akan memberi akses jarak jauh ke sistem yang disusupi dan menduplikasi sebagian besar logika pengumpulan data AMPS.

Infostealer merupakan salah satu ancaman paling cepat berkembang di tahun 2025. Pelaku ancaman aktif bereksperimen dengan tema-tema terkait AI, alat AI palsu, dan konten yang dihasilkan AI untuk meningkatkan kredibilitas umpan. Gelombang terbaru termasuk sidebar browser AI palsu dan klien palsu untuk model-model populer. Pola tersebut diperluas melalui kegiatan bertema Atlas dengan cara menyalahgunakan fitur berbagi konten bawaan dari platform AI yang sah.

“Hal yang membuat kasus ini efektif bukanlah eksploitasi canggih, tetapi cara rekayasa sosial yang dikemas dalam konteks AI yang familiar. Tautan bersponsor mengarah ke halaman yang diformat dengan baik di domain tepercaya, dan ‘panduan instalasi’ hanyalah satu perintah Terminal. Bagi banyak pengguna, kombinasi kepercayaan dan kesederhanaan itu cukup untuk melewati kehati-hatian mereka. Namun hasilnya adalah akses penuh terhadap sistem dan jangka panjang bagi penyerang,” ucap Vladimir Gursky, Analis Malware di Kaspersky.

Tips Terlindungi dari Ancaman Infostealer

Kaspersky memberikan beberapa tips berikut ini agar senantiasa aman dari ancaman infostealer:

Waspada terhadap ‘panduan’ tak diminta yang meminta menjalankan perintah Terminal atau PowerShell. Apalagi jika melibatkan menyalin dan menempelkan skrip satu baris dari situs web, dokumen, atau obrolan.
Tutup halaman atau hapus pesan yang meminta tindakan tersebut jika instruksinya tidak jelas. Mintalah nasihat dari sumber yang berpengetahuan sebelum melanjutkan.
Pertimbangkan untuk menempelkan perintah mencurigakan ke platform AI atau alat keamanan terpisah untuk memahami yang dilakukan kode tersebut sebelum mengeksekusinya.
Instal dan pelihara perangkat lunak keamanan yang bereputasi baik di semua perangkat, termasuk sistem macOS dan Linux. Salah satu solusi yang dapat digunakan adalah Kaspersky Premium untuk mendeteksi dan memblokir pencuri informasi dan muatan terkait.

Demikianlah beberapa tips dari Kaspersky agar senantiasa aman dari ancaman Infostealer.