Malware macOS AMOS Bidik Korban Lewat Jebakan Google dan ChatGPT
- Istimewa
- Kaspersky mengungkap kampanye baru AMOS (Atomic macOS Stealer) menargetkan pengguna macOS.
- Serangan ini memanfaatkan iklan pencarian Google berbayar dan halaman percakapan ChatGPT yang dimanipulasi.
- Korban dibujuk menjalankan satu baris perintah Terminal, yang berujung pada instalasi infostealer dan backdoor permanen.
Tim Kaspersky Threat Research baru-baru ini menemukan skema kejahatan siber yang sangat terstruktur. Mereka mengungkapkan adanya kampanye Malware macOS AMOS terbaru yang secara cerdik menipu pengguna perangkat Apple. Penyerang menggunakan kombinasi iklan pencarian Google berbayar dan fitur berbagi percakapan di situs resmi ChatGPT untuk menjalankan aksinya.
Kampanye canggih ini dirancang untuk memancing korban agar secara sukarela menjalankan serangkaian perintah berbahaya. Tujuannya sangat jelas: memasang infostealer AMOS (Atomic macOS Stealer) serta menanamkan backdoor permanen di perangkat korban.
Teknik Eksploitasi: Kombinasi Google Ads dan ChatGPT
Para penjahat siber menunjukkan kecerdikan tinggi dalam memilih platform distribusi yang tepercaya. Mereka memanfaatkan otoritas domain resmi untuk menyamarkan ancaman.
Penyerang pertama-tama membeli iklan bersponsor di Google Search. Iklan ini menggunakan kata kunci seperti “chatgpt atlas” untuk menarik perhatian pengguna yang mencari alat AI.
Iklan tersebut kemudian mengarahkan pengguna ke halaman yang sangat meyakinkan. Halaman itu tampak seperti panduan instalasi resmi untuk "ChatGPT Atlas untuk macOS", bahkan di-host pada domain tepercaya, yakni chatgpt.com.
Modus Operandi 'ChatGPT Atlas' Palsu
Anehnya, halaman tersebut bukanlah dokumentasi resmi. Halaman itu merupakan percakapan ChatGPT bersama yang sudah direkayasa melalui teknik prompt engineering dan penyuntingan.
Halaman yang dimanipulasi ini hanya menampilkan instruksi instalasi palsu, langkah demi langkah. Panduan palsu ini, menurut Vladimir Gursky, Analis Malware di Kaspersky, meminta pengguna menyalin satu baris perintah spesifik.
Setelah menyalin, korban diminta membuka Terminal macOS, menempelkan perintah tersebut, dan segera memberikan seluruh izin sistem yang diminta.
Infeksi AMOS: Dari Perintah Terminal Hingga Pencurian Data
Kaspersky menganalisis bahwa perintah tunggal yang dijalankan korban sebenarnya mengunduh dan menjalankan skrip dari domain eksternal berbahaya, atlas-extension[.]com.
Skrip berbahaya itu berulang kali meminta kata sandi sistem pengguna. Kemudian, skrip memverifikasi kredensial tersebut dengan mencoba menjalankan perintah tingkat sistem yang hanya bisa diakses dengan izin penuh.
