Serangan siber kini tidak selalu datang lewat file mencurigakan yang mudah dikenali. Dalam kasus terbaru yang diungkap Push Security, pelaku justru memanfaatkan halaman yang tampak seperti layanan resmi ChatGPT untuk memancing pengguna mengunduh aplikasi desktop palsu yang berisi malware.
Skema ini berjalan dengan rapi karena menyandera kepercayaan pengguna pada domain dan tampilan yang terlihat sah. Saat orang mencari ChatGPT di mesin pencari, mereka bisa diarahkan ke iklan yang membawa ke laman mirip chatgpt.com, lalu disuguhi pesan gangguan yang seolah-olah berasal dari layanan resmi.
Halaman gangguan palsu yang dibuat meyakinkan
Riset Push Security menyebut operasi ini memakai nama “LLMShare” dan memanfaatkan Google Ads untuk menjaring korban. Begitu laman dibuka, pengguna tidak melihat ruang obrolan AI seperti biasa, melainkan pesan yang menyebut layanan web sedang mengalami lonjakan trafik dan belum bisa diakses sementara waktu.
Narasi itu dirancang untuk menciptakan rasa mendesak. Pengguna kemudian didorong agar mengunduh aplikasi desktop supaya layanan tetap bisa dipakai, padahal langkah tersebut justru mengarah ke jebakan yang sudah disiapkan.
Arah unduhan dipindahkan ke situs palsu
Saat tombol unduh ditekan, korban dialihkan ke portal eksternal openew[.]app yang meniru halaman unduhan OpenAI. Dari sana, pengguna dapat mengambil file instalasi untuk macOS dan Windows yang telah disisipi komponen berbahaya.
Komponen itu mencakup infostealer yang dapat menjarah data pribadi. Dengan demikian, file yang terlihat seperti instalasi biasa berubah menjadi pintu masuk pencurian data setelah dijalankan di perangkat korban.
Upaya menyamarkan diri dari pemeriksaan otomatis
Situs penipuan ini juga memakai teknik cloaking agar identitas aslinya tidak mudah terlihat oleh pemeriksaan otomatis. Saat dipindai dengan alat seperti URLScan, halaman tersebut justru menampilkan profil perusahaan AR/VR yang tidak berbahaya.
Cara ini membantu situs lolos dari deteksi berlapis dan membuat penyamarannya terlihat lebih rapi. Kombinasi antara halaman yang tampak sah dan hasil pemeriksaan yang mengecoh membuat operasi ini lebih sulit dibaca oleh sistem keamanan maupun pengguna biasa.
Fitur sah dipakai untuk memoles penipuan
Yang membuat kampanye ini menonjol adalah pemanfaatan kemampuan render HTML dan CSS kustom dari prompt internal ChatGPT melalui tautan berbagi. Artinya, halaman eror palsu itu tidak sepenuhnya dibangun di infrastruktur pelaku sendiri.
Pelaku justru memanfaatkan mekanisme platform yang terlihat resmi untuk memperkuat kesan asli pada halaman jebakan. Pendekatan seperti ini menyulitkan pengguna membedakan mana halaman layanan yang benar dan mana yang sudah dimanipulasi.
Pola serupa juga muncul di layanan AI lain
Peneliti juga menemukan pola yang mirip pada layanan lain. Fitur Claude Artifacts milik Anthropic disebut ikut disalahgunakan untuk melancarkan serangan berbasis instruksi palsu atau ClickFix lures.
Temuan itu menunjukkan pelaku siber terus mencari celah pada fitur sah di platform AI populer. Selama jalur masuknya lewat iklan, halaman berbagi, dan pesan gangguan palsu yang meyakinkan, risiko pengguna mengunduh malware tetap terbuka lebar.
Source: teknologi.bisnis.com-
-
-
-
