Malware Baru Menyamar sebagai Asisten AI Mencuri Data Pengguna
Digital, VIVA - Peneliti Kaspersky GReAT telah menemukan kampanye baru berbahaya yang mendistribusikan Trojan melalui aplikasi Large Language Model (LLM) palsu DeepSeek-R1 untuk PC.
Malware yang sebelumnya tidak dikenal tersebut dikirimkan melalui situs phishing yang berpura-pura menjadi beranda resmi DeepSeek yang dipromosikan melalui Google Ads.
Tujuan serangan tersebut adalah untuk memasang BrowserVenom, malware yang mengonfigurasi peramban web pada perangkat korban untuk menyalurkan lalu lintas web melalui server penyerang, sehingga memungkinkan pengumpulan data pengguna – kredensial dan informasi sensitif lainnya.
Beberapa infeksi telah terdeteksi di Brasil, Kuba, Meksiko, India, Nepal, Afrika Selatan, dan Mesir.
DeepSeek-R1 adalah salah satu LLM paling populer saat ini, dan Kaspersky sebelumnya telah melaporkan serangan dengan malware yang menirunya untuk menarik korban.
DeepSeek juga dapat dijalankan secara offline di PC menggunakan alat seperti Ollama atau LM Studio, dan penyerang menggunakan ini dalam kampanye mereka.
Pengguna diarahkan ke situs phishing yang meniru alamat platform DeepSeek asli melalui Google Ads, dengan tautan yang muncul di iklan saat pengguna menelusuri "deepseek r1".
Setelah pengguna mencapai situs DeepSeek palsu, pemeriksaan dilakukan untuk mengidentifikasi sistem operasi korban.
Jika korban menggunakan Windows, pengguna akan diberikan tombol untuk mengunduh alat untuk bekerja dengan LLM secara offline.
Sistem operasi lain tidak menjadi target pada saat penelitian. Setelah mengklik tombol dan lulus uji CAPTCHA, file penginstal berbahaya diunduh dan pengguna diberikan pilihan untuk mengunduh dan menginstal Ollama atau LM Studio.
Jika salah satu pilihan dipilih, bersama dengan penginstal Ollama atau LM Studio yang sah, malware akan terinstal di sistem dan melewati perlindungan Windows Defender dengan algoritma khusus.
Prosedur ini juga memerlukan hak istimewa administrator untuk profil pengguna di Windows; jika profil pengguna di Windows tidak memiliki hak istimewa ini, infeksi tidak akan terjadi.
Setelah malware tersebut terinstal, malware akan mengonfigurasi semua peramban web dalam sistem untuk secara paksa menggunakan proxy yang dikendalikan oleh penyerang, yang memungkinkan mereka untuk memata-matai data penelusuran sensitif dan memantau aktivitas penelusuran korban.
Karena sifatnya yang memaksa dan niat jahatnya, para peneliti Kaspersky telah menjuluki malware ini BrowserVenom.
“Meskipun menjalankan model bahasa besar secara luring menawarkan manfaat privasi dan mengurangi ketergantungan pada layanan cloud, hal itu juga dapat menimbulkan risiko besar jika tindakan pencegahan yang tepat tidak dilakukan. Penjahat siber semakin mengeksploitasi popularitas alat AI sumber terbuka dengan mendistribusikan paket berbahaya dan penginstal palsu yang dapat secara diam-diam menginstal keylogger, cryptominer, atau infostealer. Alat palsu ini membahayakan data sensitif pengguna dan menimbulkan ancaman, terutama ketika pengguna telah mengunduhnya dari sumber yang tidak terverifikasi,” kata Lisandro Ubiedo, Peneliti Keamanan Kaspersky’s GReAT.
Untuk menghindari ancaman semacam itu, Kaspersky merekomendasikan:
• Periksa alamat situs web untuk memverifikasi keasliannya dan menghindari penipuan.
• Unduh alat LLM offline hanya dari sumber resmi (misalnya, ollama.com, lmstudio.ai).
• Gunakan solusi keamanan tepercaya untuk mencegah peluncuran file berbahaya.
• Pastikan hasil pencarian internet memang sah.
• Hindari menggunakan Windows pada profil dengan hak istimewa admin.