Awas! Hacker Manfaatkan Iklan Google dan Chat Claude.ai untuk Sebar Malware Mac

Para pengguna macOS kini harus ekstra waspada saat mencari perangkat lunak Kecerdasan Buatan (AI). Sebuah kampanye malvertising (iklan berbahaya) yang sangat canggih sedang aktif mengeksploitasi Iklan Google (Google Ads) dan fitur obrolan yang dibagikan (shared chats) secara sah di platform Claude.ai.

Berk Albayrak, seorang insinyur keamanan di Trendyol Group, pertama kali menemukan kampanye ini. Penyerang menargetkan pengguna yang mencari kata kunci seperti “Claude mac download” di mesin pencari Google.

Jebakan Sempurna: Bersembunyi di Balik URL Resmi

Berbeda dengan kampanye phishing tradisional yang menggunakan domain palsu (seperti situs web tiruan), serangan ini jauh lebih berbahaya karena URL tujuan di dalam iklan tersebut adalah tautan asli milik Anthropic (claude.ai). Hal ini membuat baik pengguna maupun sistem keamanan otomatis sangat mudah terkecoh.

Berikut adalah cara kerja jebakan tersebut:

1. Pengguna mengklik hasil pencarian bersponsor (Iklan Google).
2. Iklan tersebut mengarahkan pengguna ke halaman shared chat publik di Claude.ai yang telah disiapkan oleh peretas.
3. Obrolan tersebut menyamar sebagai panduan instalasi resmi untuk “Claude Code on Mac” dan secara palsu mencatut nama “Apple Support”.
4. Di dalam obrolan, pengguna diinstruksikan untuk membuka aplikasi Terminal di Mac mereka dan menyalin-tempel (copy-paste) sebuah perintah rahasia.

Analisis Malware: Fileless, Polimorfik, dan Pencuri Data

Jika pengguna tertipu dan menempelkan perintah tersebut di Terminal, sebuah skrip shell yang dikodekan (Base64) akan diunduh secara diam-diam. Analisis dari BleepingComputer dan Albayrak menemukan setidaknya dua varian mematikan dari muatan (payload) ini:

• Varian Pertama (Pengintaian & Eksekusi Jarak Jauh): Skrip akan mengunduh file .sh terkompresi yang berjalan sepenuhnya di dalam memori komputer (fileless), sehingga hampir tidak meninggalkan jejak di hard drive. Malware ini bersifat polimorfik—selalu mengubah kode uniknya setiap kali diunduh untuk menghindari deteksi antivirus. Menariknya, skrip ini akan mengecek apakah Mac menggunakan keyboard Rusia atau negara persemakmuran (CIS). Jika ya, malware akan berhenti beroperasi. Jika tidak, malware akan mencuri data profil PC (IP, versi OS) dan mengunduh payload tahap kedua untuk mengeksekusi kode jarak jauh (RCE) menggunakan mesin bawaan macOS, osascript.
• Varian Kedua (MacSync Infostealer): Varian yang diidentifikasi oleh Albayrak ini jauh lebih agresif. Malware langsung melewati tahap identifikasi profil dan seketika mencuri kredensial browser, file cookie, serta menguras seluruh isi macOS Keychain korban, lalu mengirimkannya ke server peretas.

Cara Melindungi Diri Anda

Ini bukan pertama kalinya peretas menyalahgunakan fitur shared chat pada platform AI; pada bulan Desember lalu, pengguna ChatGPT dan Grok juga menjadi target dengan metode serupa.

Untuk menghindari jebakan ini:

• Abaikan Iklan Bersponsor: Saat mencari perangkat lunak, hindari mengklik tautan iklan (Sponsored).
• Kunjungi Langsung: Navigasikan peramban Anda langsung ke situs resmi claude.ai jika ingin mengunduh aplikasi asli Claude.
• Waspada Terminal: Jangan pernah menyalin dan menempelkan perintah apa pun ke Terminal macOS Anda jika Anda tidak sepenuhnya memahami apa fungsi kode tersebut, dari mana pun sumber instruksi itu berasal.

Sumber: Ax Sharma