Modus Baru Malware, Nyamar Jadi ‘ChatGPT Atlas’ Incar macOS

Uzone.id – Sebuah modus penipuan terbaru kembali terungkap di awal tahun 2026 ini. Kali ini, target yang dibidik adalah pengguna perangkat MacOS dengan memanfaatkan mesin pencarian terbaru dari OpenAI yaitu ChatGPT Atlas.

Modus ini terbilang canggih dan dilakukan secara mulus sehingga pengguna tidak menyadari bahwa mereka telah ditipu.

“Hal yang membuat kasus ini efektif bukanlah eksploitasi canggih, tetapi cara rekayasa sosial yang dibungkus dalam konteks AI yang familiar,” kata Vladimir Gursky, Analis Malware Kaspersky.

Kaspersky menemukan bahwa penjahat siber rela membeli iklan pencarian bersponsor dengan kata kunci seperti “chatgpt atlas” untuk mengelabui calon korbannya.

Nantinya, iklan ini menjadi alat penjebak dimana ketika diklik, calon korban akan diarahkan ke halaman yang tampak seperti panduan instalasi “ChatGPT Atlas untuk macOS” dan dihosting di domain chatgpt.com. 

Sekilas, tampilannya memang terlihat rapi, asli dan resmi. tapi pada kenyataannya, halaman tersebut bukan situs produk asli, melainkan percakapan ChatGPT yang dibuat lewat rekayasa prompt, lalu dirombak sehingga menampilkan instruksi instalasi langkah demi langkah.

Dalam panduan ini, pengguna akan diminta untuk menyalin satu baris kode lalu membuka Terminal di macOS dan menempelkan perintah tersebut. Setelah itu, pengguna yang terlanjur percaya akan diminta untuk menyalakan pemberian semua izin yang diminta.

Tanpa disadari, perintah ini justru menjadi pintu masuk malware ke dalam sistem perangkat pengguna. Ini merupakan bagian dari teknik ClickFix, di mana pengguna dimanipulasi lebih dulu untuk secara manual menjalankan perintah shell yang mengambil dan mengeksekusi kode dari server jarak jauh.

Begitu kata sandi yang benar diberikan, salah satu proses dari modus ini kemudian akan mengunduh dan menginstal infostealer AMOS menggunakan kredensial yang dicuri, lalu langsung meluncurkan malware tersebut.

Malware ini menargetkan kata sandi dan cookie dari browser populer, data dari dompet aset kripto seperti Electrum, Coinomi, dan Exodus, serta informasi dari aplikasi seperti Telegram Desktop dan OpenVPN Connect. 

Tak hanya itu, malware ini juga mencari file dengan ekstensi TXT, PDF, dan DOCX di folder Desktop, Documents, dan Downloads, termasuk catatan yang disimpan di aplikasi Notes. Semua data ini kemudian di eksfiltrasi ke infrastruktur yang dikendalikan penyerang.

Setelah terpasang, berbagai data ini kemudian akan dimonetisasi atau digunakan untuk serangan lanjutan. 

Bahkan, modus ini dibuat agar bisa bertahan dalam jangka panjang karena mereka akan menginstal backdoor agar berjalan otomatis setiap kali perangkat di-reboot. 

Backdoor tersebut menjadi pintu akses jarak jauh ke sistem yang sudah disusupi dan menduplikasi sebagian besar logika pengumpulan data milik AMOS, sehingga ancaman bisa bertahan dalam jangka panjang.

Menghadapi adanya ancaman ini, Kaspersky mengingatkan pengguna agar mengecek perintah mencurigakan lewat platform AI atau alat keamanan sebelum dieksekusi, selalu curiga terhadap panduan yang tiba-tiba meminta menjalankan perintah di Terminal atau PowerShell, apalagi jika hanya berupa satu baris kode hasil salin-tempel. 

Jika instruksi terasa janggal atau tidak jelas, sebaiknya langsung ditutup dan dikonsultasikan ke sumber yang lebih berpengetahuan.