Kampanye Malware AMOS Manfaatkan Iklan Google & ChatGPT/Grok untuk Serang macOS

Peneliti keamanan menemukan kampanye baru yang menyalahgunakan iklan Google untuk mengarahkan pengguna ke percakapan ChatGPT dan Grok yang tampak memberikan instruksi bermanfaat, namun sebenarnya berisi perintah berbahaya yang menginstal malware AMOS infostealer di perangkat macOS.

Bagaimana Serangan Terjadi

• Target pencarian: pengguna yang mencari solusi macOS seperti “clear data on iMac” atau “free up storage on Mac”.
• Metode: iklan Google menautkan langsung ke percakapan publik di ChatGPT/Grok yang sudah disiapkan penyerang.
• Eksekusi: jika korban mengikuti instruksi dan menjalankan perintah di Terminal, sebuah URL base64 didekode menjadi bash script.
• Script ini menampilkan prompt password palsu, lalu menggunakan kredensial untuk menjalankan perintah dengan hak akses root, termasuk mengunduh dan mengeksekusi AMOS.

Tentang AMOS Infostealer

• Pertama kali terdokumentasi April 2023.
• Model Malware-as-a-Service (MaaS) dengan biaya sewa sekitar USD 1.000/bulan.
• Fokus menyerang sistem macOS.
• Fitur tambahan: backdoor module untuk eksekusi perintah, keylogging, dan pemasangan payload tambahan.

Target Utama AMOS

• Dompet kripto: Ledger, Trezor, Electrum, Exodus, MetaMask, Ledger Live, Coinbase Wallet.
• Data browser: cookies, password tersimpan, autofill, session tokens.
• macOS Keychain: password aplikasi, kredensial Wi-Fi.
• File sistem: data sensitif pengguna.

Jika menemukan aplikasi dompet kripto, AMOS menggantinya dengan versi trojan yang meminta korban memasukkan seed phrase dengan alasan keamanan.

Mekanisme Persistensi

• AMOS membuat LaunchDaemon (com.finder.helper.plist).
• Menjalankan AppleScript tersembunyi sebagai watchdog loop yang otomatis me-restart malware dalam 1 detik jika dihentikan.

Implikasi & Pencegahan

Serangan ini menunjukkan bagaimana penyerang kini mengeksploitasi platform populer seperti OpenAI dan X (Twitter) untuk menyebarkan malware.

Tips perlindungan:

• Jangan mengeksekusi perintah dari internet jika tidak memahami fungsinya.
• Hindari menginstal aplikasi dari sumber tidak resmi.
• Gunakan Play Protect atau solusi keamanan macOS untuk mendeteksi ancaman.
• Waspadai prompt password yang muncul tiba-tiba.

Kaspersky menekankan bahwa bahkan dengan percakapan LLM yang dimanipulasi, pertanyaan lanjutan sederhana seperti “Apakah instruksi ini aman dijalankan?” sudah cukup untuk mengungkap bahwa instruksi tersebut berbahaya.