Bisnis.com, JAKARTA — Tim Kaspersky Threat Research mengungkap kampanye malware terbaru yang memanfaatkan iklan pencarian Google berbayar serta fitur berbagi percakapan di situs resmi ChatGPT untuk menipu pengguna macOS.
Serangan ini dirancang untuk mengelabui korban agar secara sukarela menjalankan perintah yang berujung pada pemasangan infostealer AMOS (Atomic macOS Stealer) dan backdoor permanen di perangkat mereka.
Dalam kampanye ini, penjahat siber membeli iklan bersponsor dengan kata kunci seperti “chatgpt atlas”. Iklan tersebut mengarahkan pengguna ke halaman yang tampak seperti panduan instalasi “ChatGPT Atlas untuk macOS” dan dihosting di domain tepercaya, chatgpt.com.
Alih-alih dokumentasi resmi, halaman itu merupakan percakapan ChatGPT bersama yang direkayasa melalui teknik prompt engineering dan disunting sehingga hanya menyisakan instruksi instalasi langkah demi langkah.
Vladimir Gursky, Analis Malware di Kaspersky menerangkan, panduan palsu tersebut meminta pengguna menyalin satu baris perintah, membuka Terminal macOS, menempelkan perintah itu, lalu memberikan seluruh izin yang diminta sistem. Berdasarkan analisis Kaspersky, perintah yang diberikan sebenarnya mengunduh dan menjalankan skrip dari domain eksternal atlas-extension[.]com.
Skrip itu kemudian berulang kali meminta kata sandi sistem pengguna dan memverifikasinya dengan mencoba menjalankan perintah tingkat sistem. Setelah kata sandi yang benar diperoleh, skrip mengunduh dan memasang infostealer AMOS menggunakan kredensial korban, lalu mengeksekusi malware.
Alur infeksi ini merupakan variasi dari teknik yang disebut ClickFix, membuat pengguna dibujuk untuk secara manual menjalankan perintah shell yang mengambil dan menjalankan kode dari server jarak jauh. “Tautan bersponsor mengarah ke halaman yang diformat dengan baik di domain tepercaya, dan panduan instalasi hanyalah satu perintah Terminal,” ujar Gursky, dikutip Bisnis, Rabu (7/1/2026).
Setelah instalasi, AMOS mengumpulkan data yang dapat dimonetisasi atau digunakan kembali dalam intrusi selanjutnya. Malware ini menargetkan kata sandi, cookie, dan informasi lain dari browser populer, data dari dompet aset kripto seperti Electrum, Coinomi, dan Exodus, serta informasi dari aplikasi termasuk Telegram Desktop dan OpenVPN Connect.
Perangkat lunak berbahaya itu juga mencari file dengan ekstensi TXT, PDF, dan DOCX di folder Desktop, Documents, dan Download, serta file yang disimpan oleh aplikasi Notes, kemudian mengeksfiltrasi data ini ke infrastruktur yang dikendalikan penyerang.
Secara paralel, serangan tersebut menginstal backdoor yang dikonfigurasi untuk berjalan secara otomatis saat reboot, memberikan akses jarak jauh ke sistem yang disusupi, dan menduplikasi sebagian besar logika pengumpulan data AMOS.
Gursky menyampaikan, kampanye ini mencerminkan tren yang lebih luas di mana infostealer telah menjadi salah satu ancaman yang paling cepat berkembang pada 2025. Para penyerang secara aktif bereksperimen dengan tema-tema terkait AI, alat AI palsu, dan konten yang dihasilkan AI untuk meningkatkan kredibilitas umpan mereka.
Gelombang terbaru termasuk sidebar browser AI palsu dan klien palsu untuk model-model populer, seperti aktivitas bertema Atlas yang memperluas pola ini dengan menyalahgunakan fitur berbagi konten bawaan dari platform AI yang sah.
“Hal yang membuat kasus ini efektif bukanlah eksploitasi canggih, tetapi cara rekayasa sosial yang dibungkus dalam konteks AI yang familiar,” sebut Gursky.
Di tengah kondisi ini, Kaspersky lantas mengimbau masyarakat terutama pengguna MacOS untuk berhati-hati terhadap “panduan” yang tidak diminta. Panduan yang meminta untuk menjalankan perintah Terminal atau PowerShell, terutama jika melibatkan menyalin dan menempelkan skrip satu baris dari situs web, dokumen, atau obrolan.
Segera tutup halaman atau hapus pesan yang meminta tindakan tersebut jika instruksinya tidak jelas, dan mintalah nasihat dari sumber yang berpengetahuan sebelum melanjutkan.
Pertimbangkan untuk menempelkan perintah yang mencurigakan ke platform AI atau alat keamanan terpisah untuk memahami apa yang dilakukan kode tersebut sebelum mengeksekusinya. Disarankan pula agar menginstal dan memelihara perangkat lunak keamanan yang bereputasi baik di semua perangkat, termasuk sistem macOS dan Linux.