Siasat Baru Peretas: Modus Tautan Berbagi (Share Links) ChatGPT Disalahgunakan untuk Menyebarkan Malware

Sindikat penjahat siber dilaporkan mulai beralih menggunakan taktik manipulasi psikologis yang sangat cerdik. Mereka menyalahgunakan fitur resmi berbagi konten (content-sharing feature) milik ChatGPT untuk menampilkan halaman notifikasi gangguan (outage pages) palsu. Halaman rekayasa ini ujung-ujungnya menjebak pengguna untuk mengunduh malware yang menyamar sebagai aplikasi desktop resmi ChatGPT.

Kampanye berbahaya yang diberi nama “LLMShare” ini pertama kali diendus oleh firma keamanan siber Push Security. Yang membuat serangan ini sangat berbahaya adalah keberhasilan peretas mendistribusikan halaman jebakan langsung melalui domain resmi milik OpenAI (chatgpt.com), sehingga mampu mengelabui radar filter keamanan siber tradisional.

Modus Operandi Kampanye “LLMShare”

Rangkaian skema serangan digital ini dijalankan oleh peretas melalui beberapa tahapan yang terstruktur rapi:

[Iklan Palsu Google Ads] 
       │ (Pengguna mencari kata kunci "ChatGPT")
       ▼
[Tautan Resmi chatgpt.com/s/...] ──► (Memanfaatkan fitur Share Link OpenAI)
                                      │
                                      ▼
                      [Halaman Notifikasi Down Palsu]
                      └── Merender Custom HTML/CSS lewat Prompt ChatGPT
                                      │
                                      ▼
                      [Tombol Pengalihan Download]
                      └── Diarahkan ke Situs Kloning: openew[.]app
                                      │
                                      ▼
                      [Payload Eksekusi Malware]
                      └── Infostealer menginfeksi Windows / macOS

1. Eksploitasi Google Ads (Iklan Sponsor)

Peretas membeli slot iklan bersponsor di mesin pencari Google (Google Ads). Ketika pengguna mengetikkan kata kunci pencarian seperti “Download ChatGPT desktop”, iklan palsu ini akan muncul di urutan teratas dan mengarahkan korban ke tautan berbagi resmi: [chatgpt.com/s/](https://chatgpt.com/s/)[id-unik].

2. Merender Halaman “Down” Lewat Kemampuan ChatGPT

Tidak seperti situs phishing konvensional yang menyewa server luar, peretas memanfaatkan kemampuan ChatGPT dalam merender kode pemrograman. Peretas memasukkan instruksi khusus (prompt) berisi kode kustom HTML dan CSS ke dalam ruang obrolan, lalu memublikasikannya via fitur Share Link.

Saat korban membuka tautan tersebut, alih-alih melihat teks obrolan biasa, browser mereka akan menampilkan halaman simulasi yang sangat mirip dengan notifikasi sistem OpenAI saat kelebihan muatan:

“We’re experiencing high traffic right now. Our website is temporarily unavailable due to a large number of users. Download our desktop app to continue.”

(Kami sedang mengalami lonjakan lalu lintas saat ini. Situs web kami tidak tersedia untuk sementara karena jumlah pengguna yang besar. Unduh aplikasi desktop kami untuk melanjutkan).

Para peneliti dari Push Security menemukan bukti manipulasi ini karena pada halaman tersebut masih menyisakan tombol kontrol sistem bawaan OpenAI seperti “Show code” (Tampilkan kode) dan “Remix with ChatGPT”.

3. Teknik Kamuflase (Cloaking) di Situs Unduhan

Jika pengguna terpedaya dan menekan tombol unduh, mereka akan dilempar ke situs web eksternal bernama openew[.]app yang meniru mentah-mentah desain portal unduhan OpenAI resmi.

Situs penipu ini diprogram menggunakan teknik cloaking (penyamaran) canggih guna menghindari deteksi para peneliti keamanan:

• Jika diakses oleh target korban (manusia/browser biasa), situs akan menampilkan halaman unduhan aplikasi ChatGPT palsu untuk Windows dan macOS.
• Jika diakses oleh bot mesin pemindai keamanan (seperti platform URLScan), situs ini secara otomatis akan mengubah tampilannya menjadi situs web profil perusahaan teknologi AR/VR yang sepenuhnya aman dan legal.

Dampak Infeksi Payload

Berdasarkan hasil analisis uji coba dinamis pada sandbox Any.Run terhadap berkas instalasi (.exe) untuk Windows, program berbahaya tersebut terdeteksi langsung meluncurkan serangkaian perintah sistem internal (command lines). Langkah ini bertujuan untuk memindai apakah berkas sedang berjalan di dalam komputer asli atau sekadar di dalam mesin virtual (virtual machine) milik peneliti.

Meskipun jenis muatan akhir (payload) belum ditentukan secara spesifik, pola serangan yang menyalahgunakan platform AI sebelum-sebelumnya selalu bermuara pada penyebaran malware infostealer (pencuri data kredensial, kata sandi, cookie browser, dan dompet kripto).

Serangan Serupa Turut Mengintai Fitur “Claude Artifacts”

Push Security memperingatkan bahwa tren penyalahgunaan fitur berbagi platform kecerdasan buatan ini tengah mewabah di industri siber. Peneliti turut mengamati serangan serupa yang mengeksploitasi fitur Claude Artifacts milik Anthropic (fitur untuk berbagi hasil eksekusi aplikasi mini secara langsung).

Pada platform Claude, peretas memanfaatkannya untuk meluncurkan serangan taktik “ClickFix”. Modus ini memunculkan notifikasi galat (error) palsu pada sistem operasi korban, lalu memberikan panduan instruksi manipulatif yang menggiring pengguna untuk menyalin dan mengeksekusi perintah teks berbahaya (malicious commands) di terminal PowerShell/Terminal komputer mereka yang otomatis memasang malware.

Imbauan Keamanan

Guna menghindari risiko infeksi dari ekosistem kampanye “LLMShare”, pengguna PC diimbau untuk mempraktikkan langkah mitigasi berikut:

• Hindari Mengklik Iklan Bersponsor: Saat mencari platform digital di mesin pencari, hindari mengklik hasil pencarian yang memiliki label “Sponsored” atau “Iklan” di bagian atas.
• Unduh Hanya dari Toko Resmi: Jika membutuhkan aplikasi desktop resmi, masuklah secara mandiri ke menu pengaturan di dalam akun ChatGPT asli Anda yang sudah masuk log, atau unduh langsung melalui toko aplikasi resmi yang terverifikasi seperti Microsoft Store (Windows) dan Mac App Store (macOS).

Sumber: Push Security / Any.Run