Jakarta – Pengguna Mac Apple, waspadalah! kampanye malware baru mengintai Anda melalui iklan pencarian Google dan percakapan di situs web ChatGPT.
Kampanye ini bertujuan mengelabui pengguna agar menjalankan perintah berbahaya. Perintah tersebut dapat menginstal infostealer AMOS (Atomic macOS Stealer) dan backdoor permanen ke sistem Anda.
Kaspersky Threat Research mengungkapkan modus operandi penyerang. Mereka membeli iklan bersponsor untuk kueri seperti “chatgpt atlas”.
Iklan tersebut mengarahkan pengguna ke halaman panduan instalasi palsu “ChatGPT Atlas untuk macOS” di chatgpt.com.
Halaman tersebut sebenarnya adalah percakapan ChatGPT hasil rekayasa. Percakapan ini berisi instruksi “instalasi” langkah demi langkah yang menipu.
Pengguna diminta menyalin kode, membuka Terminal di macOS, menempelkan perintah, dan memberikan izin.
Analisis Kaspersky menunjukkan bahwa perintah tersebut mengunduh dan menjalankan skrip dari domain eksternal atlas-extension[.]com.
Skrip ini berulang kali meminta kata sandi sistem dan memvalidasinya. Setelah berhasil,skrip mengunduh infostealer AMOS,menginstalnya menggunakan kredensial curian,dan meluncurkan malware.
Teknik ini disebut ClickFix. Pengguna dibujuk menjalankan perintah shell yang mengambil kode dari server jarak jauh.
Setelah terinstal, AMOS mengumpulkan data sensitif. Data tersebut termasuk informasi dari browser,dompet aset kripto (Electrum,Coinomi,exodus),dan aplikasi (Telegram Desktop,OpenVPN Connect).
Malware ini juga mencari file TXT, PDF, DOCX di folder “Desktop”, “Documents”, “Downloads”, serta file dari aplikasi “Notes”. File-file ini kemudian dikirimkan ke server penyerang.
Serangan ini juga menginstal backdoor yang berjalan otomatis saat reboot. Backdoor ini memberikan akses jarak jauh ke sistem yang terinfeksi dan menduplikasi logika pengumpulan data AMOS.
Kampanye ini mencerminkan tren peningkatan ancaman infostealer. Penyerang memanfaatkan tema terkait AI untuk meningkatkan kredibilitas umpan mereka.
