Jangan Asal Klik! Iklan Google Kini Dipakai Sebar Malware Mac

Foto ilustrasi pereta/hacker. - Freepik

Harianjogja.com, JOGJA— Pengguna perangkat macOS diminta meningkatkan kewaspadaan setelah muncul modus baru penyebaran malware melalui iklan sponsor di Google. Peretas kini memanfaatkan teknik malvertising dan fitur shared chat milik Claude.ai
untuk mencuri data sensitif pengguna.

Ancaman ini menjadi perhatian serius karena target serangan bukan hanya pengguna teknis, tetapi juga masyarakat umum yang terbiasa mengunduh aplikasi lewat hasil pencarian Google. Data yang diincar mencakup kata sandi, cookie browser, hingga isi keychain macOS.

Modus tersebut pertama kali diungkap oleh Berk Albayrak. Para hacker membeli iklan Google untuk kata kunci seperti “Claude mac download” agar muncul di bagian teratas pencarian.

Sekilas, iklan tersebut terlihat aman karena mencantumkan alamat resmi Claude.ai sebagai tujuan. Namun, ketika diklik, pengguna justru diarahkan ke fitur shared chat yang telah dimanipulasi peretas.

Di dalam obrolan itu, korban disuguhi instruksi palsu bertajuk “Panduan Instalasi Resmi Claude Code di Mac” yang mengatasnamakan Apple Support. Pengguna kemudian diminta menyalin dan menjalankan perintah tertentu melalui aplikasi Terminal di macOS.

Menurut laporan BleepingComputer, terdapat sedikitnya dua varian serangan yang memakai teknik manipulasi psikologis atau social engineering serupa.

Varian pertama menggunakan metode eksekusi di memori. Setelah perintah dijalankan, sistem akan mengunduh skrip shell terkompresi yang bekerja sepenuhnya di RAM tanpa meninggalkan banyak jejak di hard disk.

Teknik ini membuat malware lebih sulit dideteksi antivirus karena tidak menyimpan file berbahaya secara permanen di perangkat korban.

Varian kedua memakai metode pengiriman polimorfik. Server penyerang mengirim kode malware berbeda untuk setiap korban sehingga tanda tangan digitalnya terus berubah dan sulit dikenali sistem keamanan.

Bahkan, salah satu varian malware disebut mampu memeriksa konfigurasi keyboard perangkat korban. Jika mendeteksi tata letak Rusia atau wilayah CIS (Commonwealth of Independent States), malware otomatis berhenti berjalan.

Hal tersebut mengindikasikan serangan memang dirancang khusus untuk menargetkan pengguna tertentu, terutama pengguna berbahasa Inggris dan pasar internasional lain di luar wilayah CIS.

Apabila korban menjalankan perintah yang diberikan, malware yang dikenal sebagai MacSync mulai mencuri berbagai data penting. Informasi yang dipanen meliputi kredensial browser, cookie login, isi macOS Keychain, alamat IP, versi sistem operasi, hingga hostname perangkat.

Semua data tersebut kemudian dikirim ke server milik penyerang melalui osascript, mesin skrip bawaan macOS yang memungkinkan akses jarak jauh tanpa perlu memasang aplikasi tambahan.

Pakar keamanan siber mengingatkan pengguna agar tidak pernah menjalankan perintah Terminal dari sumber yang tidak benar-benar terpercaya, meskipun tampak resmi atau berasal dari hasil pencarian Google.

Kasus penyalahgunaan platform AI untuk menyebarkan malware sebenarnya bukan pertama kali terjadi. Sebelumnya, modus serupa juga pernah menyasar pengguna ChatGPT dan Grok.

Namun, penargetan terhadap pengguna Claude dinilai berpotensi menjaring korban lebih luas karena banyak pengguna non-teknis cenderung tidak curiga ketika diminta mengikuti instruksi instalasi.

Untuk menghindari risiko serangan, pengguna disarankan langsung mengakses situs resmi Anthropic atau Claude.ai saat ingin mengunduh aplikasi, bukan melalui iklan sponsor Google.

Cek Berita dan Artikel yang lain di Harian Jogja, dan edisi cetak versi elektronik kami hadir di Epaper Harian Jogja.