Situs ini didesain sangat meyakinkan, meniru tampilan unduhan resmi OpenAI dengan sangat sempurna dan menawarkan aplikasi untuk macOS dan Windows.
Teknik Cloaking untuk Menghindari Deteksi
Situs penipuan ini menggunakan teknik canggih bernama cloaking atau penyamaran.
Platform keamanan otomatis seperti URLScan.io, ketika mengunjungi situs tersebut, hanya akan menampilkan sebuah profil perusahaan AR/VR yang tidak berbahaya.
Situs ini hanya akan menampilkan halaman unduhan jahat yang asli jika pengunjungnya adalah target yang spesifik, sehingga berhasil lolos dari banyak sistem keamanan otomatis.
Analisis Teknis: Malware di Balik Layar
Tujuan akhir dari kampanye ini adalah untuk menginfeksi komputer korban dengan malware.
Berikut adalah rincian malware yang digunakan untuk setiap platform.
Untuk Pengguna Windows: Chat_GPT.exe
Pengguna Windows yang terjebak akan mengunduh sebuah file bernama Chat_GPT.exe.
File ini dibangun dengan hati-hati menggunakan alat-alat yang umum, seperti Inno Setup dan kerangka Electron, sehingga tidak langsung memicu alarm antivirus standar.
Malware ini adalah sebuah loader yang bertugas mencuri kredensial.
-
Uniknya, malware ini beroperasi langsung di memori. Ia meluncurkan PowerShell untuk membaca dan menjalankan perintah-perintah jahat langsung dari masukan standar. Artinya, kode berbahaya tersebut tidak pernah menyentuh hard disk korban, yang merupakan trik umum untuk menghindari deteksi oleh perangkat lunak antivirus.
-
Setelah aktif, malware ini membuka jalur komunikasi rahasia ke server pelaku di alamat IP 188.137.246.189 untuk mengirimkan data curian.
Untuk Pengguna macOS: Atomic Stealer (AMOS)
Untuk pengguna Mac, ancamannya bahkan lebih serius.
File ChatGpt.dmg yang diunduh tidak lagi membawa loader biasa, melainkan Atomic Stealer (AMOS), sebuah "malware-as-a-service" premium yang sudah terkenal sejak tahun 2023.
-
AMOS adalah infostealer yang sangat berbahaya yang dirancang untuk menjarah data sensitif.
