Sebuah kampanye malware berbahaya yang menyasar pengguna ChatGPT tengah merebak Para peneliti dari Push Security telah mengidentifikasi dan menamai kampanye ini sebagai "LLMShare" Aplikasi Desktop ChatGPT Palsu Berkedok Halaman Gangguan

Sebuah kampanye malware berbahaya yang menyasar pengguna ChatGPT tengah merebak. Pelaku kejahatan siber memanfaatkan fitur berbagi konten ChatGPT untuk membuat halaman gangguan palsu yang mengarahkan korban ke situs unduhan aplikasi desktop ChatGPT yang telah disusupi.

Para peneliti dari Push Security telah mengidentifikasi dan menamai kampanye ini sebagai "LLMShare".

Berikut adalah laporan lengkap, analisis teknis, dan langkah-langkah pencegahan yang dapat Anda ambil untuk melindungi data pribadi Anda.

Waspada! Aplikasi Desktop ChatGPT Palsu Berkedok Halaman Gangguan

Modus Operandi LLMShare

Kampanye ini dimulai dengan iklan berbayar di Google.

Pelaku memasang iklan yang menargetkan kata kunci populer seperti "ChatGPT download" atau "ChatGPT desktop app".

Ketika pengguna yang tidak waspada mengklik iklan tersebut, mereka tidak akan diarahkan ke situs palsu biasa, melainkan ke tautan berbagi (shared link) asli milik OpenAI di chatgpt.com/s/.

Keunikan serangan ini adalah bahwa halaman penipuan tidak dibuat di infrastruktur milik peretas.

Sebaliknya, halaman tersebut dibuat langsung oleh ChatGPT.

Pelaku memanfaatkan kemampuan rendering HTML dan CSS kustom yang ada di fitur berbagi ChatGPT.

Hasilnya adalah sebuah pemberitahuan "gangguan" (outage) yang meyakinkan, yang ditempatkan di domain resmi OpenAI sehingga terlihat sangat sah.

Pesan Palsu yang Menjerat

Korban yang masuk ke halaman ini akan disambut dengan sebuah pesan palsu yang mengatakan, "Kami sedang mengalami lonjakan trafik tinggi saat ini. Situs web kami untuk sementara tidak tersedia karena banyaknya pengguna. Unduh aplikasi desktop kami untuk melanjutkan".

Menariknya, halaman ini seringkali menyertakan kontrol "Show code" dan "Remix with ChatGPT", yang justru membuka tabir bahwa konten tersebut berasal dari perintah ChatGPT yang berbahaya.

Jebakan: Situs Penipuan openew[.]app

Jika korban mengklik tombol unduh di halaman gangguan palsu tersebut, mereka akan dialihkan ke situs eksternal bernama openew[.]app (harap diingat, jangan pernah mengunjungi situs ini untuk alasan keamanan).

Situs ini didesain sangat meyakinkan, meniru tampilan unduhan resmi OpenAI dengan sangat sempurna dan menawarkan aplikasi untuk macOS dan Windows.

Teknik Cloaking untuk Menghindari Deteksi

Situs penipuan ini menggunakan teknik canggih bernama cloaking atau penyamaran.

Platform keamanan otomatis seperti URLScan.io, ketika mengunjungi situs tersebut, hanya akan menampilkan sebuah profil perusahaan AR/VR yang tidak berbahaya.

Situs ini hanya akan menampilkan halaman unduhan jahat yang asli jika pengunjungnya adalah target yang spesifik, sehingga berhasil lolos dari banyak sistem keamanan otomatis.

Analisis Teknis: Malware di Balik Layar

Tujuan akhir dari kampanye ini adalah untuk menginfeksi komputer korban dengan malware.

Berikut adalah rincian malware yang digunakan untuk setiap platform.

Untuk Pengguna Windows: Chat_GPT.exe

Pengguna Windows yang terjebak akan mengunduh sebuah file bernama Chat_GPT.exe.

File ini dibangun dengan hati-hati menggunakan alat-alat yang umum, seperti Inno Setup dan kerangka Electron, sehingga tidak langsung memicu alarm antivirus standar.

Malware ini adalah sebuah loader yang bertugas mencuri kredensial.

• Uniknya, malware ini beroperasi langsung di memori. Ia meluncurkan PowerShell untuk membaca dan menjalankan perintah-perintah jahat langsung dari masukan standar. Artinya, kode berbahaya tersebut tidak pernah menyentuh hard disk korban, yang merupakan trik umum untuk menghindari deteksi oleh perangkat lunak antivirus.

• Setelah aktif, malware ini membuka jalur komunikasi rahasia ke server pelaku di alamat IP 188.137.246.189 untuk mengirimkan data curian.

Untuk Pengguna macOS: Atomic Stealer (AMOS)

Untuk pengguna Mac, ancamannya bahkan lebih serius.

File ChatGpt.dmg yang diunduh tidak lagi membawa loader biasa, melainkan Atomic Stealer (AMOS), sebuah "malware-as-a-service" premium yang sudah terkenal sejak tahun 2023.

• AMOS adalah infostealer yang sangat berbahaya yang dirancang untuk menjarah data sensitif.

• Apa yang dicuri AMOS?

  • Semua kata sandi yang tersimpan di browser.

  • Cookies dan sesi login aktif, yang memungkinkan peretas mengakses akun tanpa perlu kata sandi.

  • Cryptocurrency wallets dan aplikasi dompet seperti Ledger dan Trezor dapat diganti dengan versi palsu.

  • Data sesi dari aplikasi pesan seperti Telegram.

Pengujian dari BleepingComputer juga mengungkapkan bahwa malware ini memiliki kemampuan untuk mendeteksi apakah ia berjalan di komputer sungguhan atau di mesin virtual (sandbox) yang digunakan untuk analisis keamanan.

Evolusi Serangan Serupa

Peneliti mencatat bahwa ini bukan hanya serangan terisolasi.

Taktik yang sama telah terlihat dieksploitasi pada platform AI lainnya.

Para penjahat dunia maya telah mengamati keberhasilan metode ini dan mencobanya di tempat lain.

• Eksploitasi Claude Artifacts: Serangan serupa ditemukan menyalahgunakan Claude Artifacts milik Anthropic. Dalam modus ini, korban justru diperdaya untuk secara manual menyalin dan menjalankan perintah berbahaya di terminal mereka sendiri, yang dikenal sebagai serangan ClickFix.

• Serangan Multi-Platform: Taktik ini menunjukkan bahwa penjahat siber sekarang secara sistematis menguji dan memanfaatkan celah pada berbagai platform AI besar untuk menyebarkan malware.

Panduan Lengkah Lindungi Diri

Agar terhindar dari ancaman ini, berikut adalah langkah-langkah praktis yang bisa Anda ikuti:

1. Hanya Unduh dari Sumber Resmi

Prinsip Utama: Selalu, selalu unduh perangkat lunak langsung dari situs web resmi pengembang.

Jangan pernah mengunduh aplikasi desktop ChatGPT dari sumber lain atau dari tautan yang diberikan oleh iklan atau email yang mencurigakan.

2. Waspadai Iklan Berbayar di Mesin Pencari

Serangan ini memanfaatkan iklan berbayar.

Saat mencari "ChatGPT download", jangan asal klik pada hasil iklan yang muncul pertama.

Selalu gulir ke bawah dan klik pada hasil pencarian organik (bukan sponsor) atau langsung ketikkan alamat web resmi chatgpt.com di browser Anda.

3. Periksa URL dengan Seksama

Sebelum mengunduh atau memasukkan informasi apa pun, periksa bilah alamat browser Anda.

Pastikan Anda berada di domain yang benar, yaitu chatgpt.com atau openai.com.

Waspadalah terhadap domain yang mirip seperti openew[.]app atau variasi lainnya.

4. Jangan Pernah Mengunduh dari Peringatan Gangguan

ChatGPT yang asli tidak akan pernah meminta Anda mengunduh aplikasi desktop melalui halaman peringatan gangguan.

Jika Anda melihat pesan seperti itu, itu adalah tanda bahaya yang jelas.

Segera tutup halaman tersebut.

5. Selalu Perbarui Aplikasi Resmi

Pastikan Anda selalu menggunakan versi terbaru dari aplikasi ChatGPT resmi di perangkat Anda.

OpenAI sendiri sebelumnya telah mengumumkan pembaruan keamanan wajib untuk aplikasi macOS mereka hingga batas waktu 12 Juni 2026, sebagai respons terhadap masalah rantai pasok lainnya.

Memperbarui aplikasi memastikan Anda memiliki tambalan keamanan terbaru.

6. Gunakan Perangkat Lunak Keamanan

Pastikan komputer Anda memiliki perangkat lunak antivirus dan anti-malware yang terpercaya dan selalu diperbarui.

Ini dapat membantu memblokir akses ke situs berbahaya yang diketahui dan mendeteksi file yang mencurigakan sebelum Anda membukanya.

Kesimpulan

Kampanye LLMShare adalah peringatan keras tentang bagaimana alat AI canggih dapat disalahgunakan.

Dengan memanfaatkan fitur berbagi internal ChatGPT, peretas kini dapat menyembunyikan malware di balik domain yang sepenuhnya sah dan tepercaya.

Waspada adalah kunci utama.

Selalu verifikasi sumber unduhan Anda, curigai iklan, dan jangan pernah panik dengan pesan "gangguan" yang mendadak muncul.

Jika Anda merasa telah mengunduh file mencurigakan, segera putuskan koneksi internet Anda dan jalankan pemindaian antivirus penuh.

Sumber: Berita ini disusun berdasarkan informasi yang dirilis pada 30 Mei 2026 oleh para peneliti dari Push Security, Malwarebytes, BleepingComputer, serta laporan dari berbagai media teknologi internasional lainnya.