Jakarta, VIVA – Kampanye ini sangat menyesatkan, jangan sampai ikut-ikutan. Hal tersebut dipaparkan Kaspersky Threat Research.
Mereka telah mengidentifikasi kampanye malware baru yang menggunakan iklan pencarian Google berbayar dan percakapan bersama di situs web resmi ChatGPT untuk mengelabui pengguna Mac Apple.
Tujuannya agar menjalankan perintah yang menginstal infostealer AMOS (Atomic macOS Stealer) dan backdoor permanen pada perangkat mereka.
Dalam kampanye ini, penyerang membeli iklan pencarian bersponsor untuk kueri seperti "chatgpt atlas" dan mengarahkan pengguna ke halaman yang tampak seperti panduan instalasi untuk "ChatGPT Atlas untuk macOS" yang dihosting di chatgpt.com.
Pada kenyataannya, halaman tersebut adalah percakapan ChatGPT bersama yang dihasilkan melalui rekayasa prompt dan kemudian disanitasi sehingga hanya instruksi "instalasi" langkah demi langkah yang tersisa.
Panduan tersebut menginstruksikan pengguna untuk menyalin satu baris kode, membuka Terminal di macOS, menempelkan perintah, dan memberikan semua izin yang diminta.
Analisis peneliti Kaspersky menunjukkan bahwa perintah tersebut mengunduh dan menjalankan skrip dari domain eksternal atlas-extension[.]com.
Skrip tersebut berulang kali meminta pengguna untuk memasukkan kata sandi sistem mereka dan memvalidasi kata sandi dengan mencoba menjalankan perintah sistem.
Setelah kata sandi yang benar diberikan, skrip mengunduh infostealer AMOS, menggunakan kredensial yang dicuri untuk menginstalnya, dan meluncurkan malware.
Alur infeksi ini merupakan variasi dari teknik yang disebut ClickFix, di mana pengguna dibujuk untuk secara manual menjalankan perintah shell yang mengambil dan menjalankan kode dari server jarak jauh.
Setelah instalasi, AMOS mengumpulkan data yang dapat dimonetisasi atau digunakan kembali dalam intrusi selanjutnya.
Malware ini menargetkan kata sandi, cookie, dan informasi lain dari browser populer, data dari dompet aset kripto seperti Electrum, Coinomi, dan Exodus, serta informasi dari aplikasi termasuk Telegram Desktop dan OpenVPN Connect.
Ia juga mencari file dengan ekstensi TXT, PDF, dan DOCX di folder “Desktop”, “Documents”, dan” Downloads”, serta file yang disimpan oleh aplikasi “Notes”, kemudian mengeksfiltrasi data ini ke infrastruktur yang dikendalikan penyerang.
Secara paralel, serangan tersebut menginstal backdoor yang dikonfigurasi untuk berjalan secara otomatis saat reboot, memberikan akses jarak jauh ke sistem yang disusupi, dan menduplikasi sebagian besar logika pengumpulan data AMOS.
