Malware macOS AMOS Bidik Korban Lewat Jebakan Google dan ChatGPT

Kamis, 8 Januari 2026 - 17:00 WIB
Oleh :
Malware macOS AMOS Bidik Korban Lewat Jebakan Google dan ChatGPT
Malware macOS AMOS Bidik Korban Lewat Jebakan Google dan ChatGPT
Sumber :
  • Istimewa
Photo Mini 1

Baca Juga :
Grok AI Dibatasi X Premium, Kemkomdigi Blokir: Efektifkah?
  • Kaspersky mengungkap kampanye baru AMOS (Atomic macOS Stealer) menargetkan pengguna macOS.
  • Serangan ini memanfaatkan iklan pencarian Google berbayar dan halaman percakapan ChatGPT yang dimanipulasi.
  • Korban dibujuk menjalankan satu baris perintah Terminal, yang berujung pada instalasi infostealer dan backdoor permanen.
Baca Juga :
Grok Diblokir! Indonesia Ambil Langkah Tegas Lawan Deepfake Seksual

Tim Kaspersky Threat Research baru-baru ini menemukan skema kejahatan siber yang sangat terstruktur. Mereka mengungkapkan adanya kampanye Malware macOS AMOS terbaru yang secara cerdik menipu pengguna perangkat Apple. Penyerang menggunakan kombinasi iklan pencarian Google berbayar dan fitur berbagi percakapan di situs resmi ChatGPT untuk menjalankan aksinya.

Kampanye canggih ini dirancang untuk memancing korban agar secara sukarela menjalankan serangkaian perintah berbahaya. Tujuannya sangat jelas: memasang infostealer AMOS (Atomic macOS Stealer) serta menanamkan backdoor permanen di perangkat korban.

Baca Juga :
Grok AI Dibatasi ke Pengguna Berbayar: Strategi Gagal X?

Teknik Eksploitasi: Kombinasi Google Ads dan ChatGPT

Para penjahat siber menunjukkan kecerdikan tinggi dalam memilih platform distribusi yang tepercaya. Mereka memanfaatkan otoritas domain resmi untuk menyamarkan ancaman.

Penyerang pertama-tama membeli iklan bersponsor di Google Search. Iklan ini menggunakan kata kunci seperti “chatgpt atlas” untuk menarik perhatian pengguna yang mencari alat AI.

Iklan tersebut kemudian mengarahkan pengguna ke halaman yang sangat meyakinkan. Halaman itu tampak seperti panduan instalasi resmi untuk "ChatGPT Atlas untuk macOS", bahkan di-host pada domain tepercaya, yakni chatgpt.com.

Modus Operandi 'ChatGPT Atlas' Palsu

Anehnya, halaman tersebut bukanlah dokumentasi resmi. Halaman itu merupakan percakapan ChatGPT bersama yang sudah direkayasa melalui teknik prompt engineering dan penyuntingan.

Halaman yang dimanipulasi ini hanya menampilkan instruksi instalasi palsu, langkah demi langkah. Panduan palsu ini, menurut Vladimir Gursky, Analis Malware di Kaspersky, meminta pengguna menyalin satu baris perintah spesifik.

Setelah menyalin, korban diminta membuka Terminal macOS, menempelkan perintah tersebut, dan segera memberikan seluruh izin sistem yang diminta.

Infeksi AMOS: Dari Perintah Terminal Hingga Pencurian Data

Kaspersky menganalisis bahwa perintah tunggal yang dijalankan korban sebenarnya mengunduh dan menjalankan skrip dari domain eksternal berbahaya, atlas-extension[.]com.

Skrip berbahaya itu berulang kali meminta kata sandi sistem pengguna. Kemudian, skrip memverifikasi kredensial tersebut dengan mencoba menjalankan perintah tingkat sistem yang hanya bisa diakses dengan izin penuh.

Setelah kata sandi yang benar diperoleh, skrip tersebut segera mengunduh dan memasang infostealer AMOS. Malware Infostealer AMOS dieksekusi menggunakan kredensial korban, memastikan bahwa infeksi berjalan mulus tanpa terdeteksi.

Alur infeksi ini merupakan variasi cerdas dari teknik yang dikenal sebagai ClickFix. Teknik ini membujuk pengguna untuk secara manual menjalankan shell command yang mengambil dan mengeksekusi kode dari server jarak jauh.

Data Kritis yang Jadi Target Pencurian

Setelah instalasi sukses, AMOS mulai mengumpulkan data berharga yang dapat dimonetisasi atau digunakan kembali untuk intrusi lanjutan.

Infostealer AMOS secara spesifik mengincar kredensial, cookie, dan informasi sesi dari peramban populer. Selain itu, AMOS juga mengincar data dari dompet aset kripto seperti Electrum, Coinomi, dan Exodus.

Perangkat lunak jahat ini bahkan mencari file dengan ekstensi TXT, PDF, dan DOCX di folder penting seperti Desktop, Documents, dan Download. Data yang dicuri ini kemudian dieksfiltrasi ke infrastruktur yang dikendalikan penuh oleh penyerang.

Secara paralel, serangan tersebut memastikan instalasi backdoor yang dikonfigurasi berjalan otomatis saat sistem dihidupkan ulang. Backdoor ini memberikan akses jarak jauh berkelanjutan ke sistem yang telah disusupi.

Analisis Ancaman dan Rekomendasi Keamanan

Kampanye yang memanfaatkan tema AI dan platform tepercaya ini mencerminkan tren ancaman siber terkini. Vladimir Gursky menyebutkan bahwa infostealer telah menjadi salah satu ancaman yang paling cepat berkembang. Penyerang aktif bereksperimen dengan konten yang dihasilkan AI untuk meningkatkan kredibilitas umpan rekayasa sosial mereka.

“Hal yang membuat kasus ini efektif bukanlah eksploitasi canggih, tetapi cara rekayasa sosial yang dibungkus dalam konteks AI yang familiar," ujar Gursky.

Aktivitas bertema Atlas ini memperluas pola penyerangan dengan menyalahgunakan fitur berbagi konten bawaan dari platform AI yang sah. Karena itu, Kaspersky mengimbau masyarakat, khususnya pengguna macOS, untuk meningkatkan kewaspadaan.

Hindari "panduan" yang tidak diminta yang meminta eksekusi perintah Terminal atau PowerShell. Jika sebuah instruksi meminta Anda menyalin dan menempelkan skrip satu baris dari situs web, dokumen, atau obrolan, segera hentikan tindakan tersebut.

Tutup halaman atau hapus pesan yang meminta tindakan yang instruksinya tidak jelas. Selalu verifikasi sumber resmi sebelum memberikan izin sistem pada Terminal.