:strip_icc()/kly-media-production/medias/974413/original/033443700_1441167948-osofi.gif)
Pelaku kejahatan siber baru-baru ini menyusupkan iklan berbayar di Google Search dan memanfaatkan percakapan AI pada platform seperti ChatGPT dan Grok untuk menyebarkan malware pencuri informasi (Atomic macOS Stealer, atau AMOS) ke pengguna macOS. Kampanye ini terdeteksi sekitar awal hingga pertengahan Desember 2025 oleh peneliti keamanan siber dari Kaspersky dan Huntress. Para penyerang menipu pengguna agar menjalankan perintah berbahaya di Terminal macOS, yang berujung pada pencurian data sensitif.
Modus operandi melibatkan rekayasa percakapan di ChatGPT atau Grok yang berisi instruksi berbahaya, seringkali menyamar sebagai panduan untuk "membersihkan ruang disk di macOS" atau menginstal "Atlas browser" OpenAI. Tautan publik ke percakapan ini kemudian dipromosikan melalui iklan Google Ads berbayar atau optimasi mesin pencari (SEO) agar muncul di posisi teratas hasil pencarian. Pengguna yang mengklik iklan ini diarahkan ke halaman percakapan AI yang terlihat sah, lantas diminta menyalin dan menjalankan perintah di Terminal Mac mereka.
Perintah berbahaya tersebut, yang seringkali dikodekan dalam base64, akan mengunduh dan menginstal malware AMOS. AMOS sendiri adalah layanan malware (MaaS) yang disewakan seharga $1.000 per bulan dan secara eksklusif menargetkan sistem macOS. Setelah terinstal, malware ini mampu mencuri kata sandi browser, data dompet kripto, kredensial Keychain, serta file lokal pengguna, bahkan dapat menjalankan perintah jarak jauh dan merekam penekanan tombol.
Insiden ini bukan kali pertama Google Ads disalahgunakan untuk penyebaran malware; sebelumnya iklan berbahaya menyamar sebagai produk Google sendiri seperti Chrome, atau perangkat lunak populer lainnya seperti Arc browser atau PyCharm. Malvertising, atau iklan berbahaya, adalah teknik serangan siber yang telah mapan, di mana kode berbahaya disisipkan ke dalam jaringan periklanan daring yang sah. Ancaman malware yang memanfaatkan aplikasi palsu ChatGPT juga pernah teridentifikasi, salah satunya dengan malware PipeMagic.
Serangan terbaru ini sangat berbahaya karena berhasil melewati sebagian besar "red flag" serangan siber tradisional. Instruksi berbahaya tersembunyi di dalam platform AI yang secara umum dipercaya dan muncul melalui hasil pencarian Google yang sah. Hal ini mengeksploitasi kepercayaan pengguna terhadap platform digital besar. Menurut peneliti keamanan, serangan ini merupakan evolusi dari teknik "ClickFix".
Google menyatakan bahwa mereka secara aktif bekerja sama dengan pengiklan dan mitra tepercaya untuk mencegah malware dalam iklan, menggunakan alat deteksi malware, dan menarik iklan yang terinfeksi. Namun, kampanye terbaru ini menyoroti celah yang terus dimanfaatkan oleh pelaku ancaman. Pakar keamanan menyarankan pengguna untuk sangat berhati-hati dan tidak pernah menjalankan perintah Terminal yang tidak dipahami sepenuhnya, bahkan jika instruksi tersebut berasal dari sumber yang tampak terkemuka.
Insiden ini penting bagi pembaca karena mengikis kepercayaan pada fondasi digital yang dianggap aman. Implikasinya mencakup perlunya peningkatan langkah-langkah keamanan yang lebih canggih pada platform iklan dan AI, serta pendidikan pengguna yang lebih komprehensif mengenai ancaman siber yang terus berkembang. Kejahatan ini juga menunjukkan bagaimana kecerdasan buatan dapat disalahgunakan untuk melancarkan rekayasa sosial yang sangat efektif, menyoroti urgensi verifikasi sumber informasi, bahkan dari hasil pencarian teratas atau platform AI yang populer.
