Kaspersky Threat Research telah mengidentifikasi kampanye malware baru yang menggunakan iklan pencarian Google berbayar dan percakapan bersama di situs web resmi ChatGPT untuk mengelabui pengguna Mac agar menjalankan perintah yang menginstal infostealer AMOS (Atomic macOS Stealer) dan backdoor permanen pada perangkat mereka.
Dalam kampanye ini, penyerang membeli iklan pencarian bersponsor untuk kueri seperti “chatgpt atlas” dan mengarahkan pengguna ke halaman yang tampak seperti panduan instalasi untuk “ChatGPT Atlas untuk macOS” yang dihosting di chatgpt.com. Pada kenyataannya, halaman tersebut adalah percakapan ChatGPT bersama yang dihasilkan melalui rekayasa prompt dan kemudian disanitasi sehingga hanya instruksi “instalasi” langkah demi langkah yang tersisa. Panduan tersebut menginstruksikan pengguna untuk menyalin satu baris kode, membuka Terminal di macOS, menempelkan perintah, dan memberikan semua izin yang diminta.
Analisis peneliti Kaspersky menunjukkan bahwa perintah tersebut mengunduh dan menjalankan skrip dari domain eksternal atlas-extension[.]com. Skrip tersebut berulang kali meminta pengguna untuk memasukkan kata sandi sistem mereka dan memvalidasi kata sandi dengan mencoba menjalankan perintah sistem.
Setelah kata sandi yang benar diberikan, skrip mengunduh infostealer AMOS, menggunakan kredensial yang dicuri untuk menginstalnya, dan meluncurkan malware. Alur infeksi ini merupakan variasi dari teknik yang disebut ClickFix, di mana pengguna dibujuk untuk secara manual menjalankan perintah shell yang mengambil dan menjalankan kode dari server jarak jauh.
Setelah instalasi, AMOS mengumpulkan data yang dapat dimonetisasi atau digunakan kembali dalam intrusi selanjutnya. Malware ini menargetkan kata sandi, cookie, dan informasi lain dari browser populer, data dari dompet aset kripto seperti Electrum, Coinomi, dan Exodus, serta informasi dari aplikasi termasuk Telegram Desktop dan OpenVPN Connect. Ia juga mencari file dengan ekstensi TXT, PDF, dan DOCX di folder “Desktop”, “Documents”, dan” Downloads”, serta file yang disimpan oleh aplikasi “Notes”, kemudian mengeksfiltrasi data ini ke infrastruktur yang dikendalikan penyerang. Secara paralel, serangan tersebut menginstal backdoor yang dikonfigurasi untuk berjalan secara otomatis saat reboot, memberikan akses jarak jauh ke sistem yang disusupi, dan menduplikasi sebagian besar logika pengumpulan data AMOS.
Kampanye ini mencerminkan tren yang lebih luas di mana infostealer telah menjadi salah satu ancaman yang paling cepat berkembang di tahun 2025, dengan para penyerang secara aktif bereksperimen dengan tema-tema terkait AI, alat AI palsu, dan konten yang dihasilkan AI untuk meningkatkan kredibilitas umpan mereka. Gelombang terbaru termasuk sidebar browser AI palsu dan klien palsu untuk model-model populer; aktivitas bertema Atlas memperluas pola ini dengan menyalahgunakan fitur berbagi konten bawaan dari platform AI yang sah.
“Hal yang membuat kasus ini efektif bukanlah eksploitasi canggih, tetapi cara rekayasa sosial yang dibungkus dalam konteks AI yang familiar,” kata Vladimir Gursky, Analis Malware di Kaspersky.
“Tautan bersponsor mengarah ke halaman yang diformat dengan baik di domain tepercaya, dan ‘panduan instalasi’ hanyalah satu perintah Terminal. Bagi banyak pengguna, kombinasi kepercayaan dan kesederhanaan itu cukup untuk melewati kehati-hatian mereka, namun hasilnya adalah akses penuh terhadap sistem dan jangka panjang bagi penyerang.” ujarnya.
Pengguna direkomendasikan agar berhati-hatilah terhadap “panduan” yang tidak diminta yang meminta untuk menjalankan perintah Terminal atau PowerShell, terutama jika melibatkan menyalin dan menempelkan skrip satu baris dari situs web, dokumen, atau obrolan. Tutup halaman atau hapus pesan yang meminta tindakan tersebut jika instruksinya tidak jelas, dan mintalah nasihat dari sumber yang berpengetahuan sebelum melanjutkan.
Pengguna juga dihimbau agar mempertimbangkan untuk menempelkan perintah yang mencurigakan ke platform AI atau alat keamanan terpisah untuk memahami apa yang dilakukan kode tersebut sebelum mengeksekusinya. Instal dan pelihara perangkat lunak keamanan yang bereputasi baik di semua perangkat, termasuk sistem macOS dan Linux, untuk mendeteksi dan memblokir pencuri informasi dan muatan terkait.
