Fitur berbagi tautan di ChatGPT, yang seharusnya mempermudah kolaborasi dan pertukaran informasi, kini disalahgunakan oleh penjahat siber. Mereka menciptakan halaman palsu yang mengklaim layanan OpenAI sedang mengalami gangguan, kemudian mengarahkan pengguna untuk mengunduh malware yang menyamar sebagai aplikasi desktop ChatGPT.
Baca Juga: Xiaomi Mijia Air Conditioner 2026: Hemat Energi dengan Subsidi Pemerintah
Dilansir dari BleepingComputer, kampanye berbahaya ini, yang diberi nama “LLMShare” dan ditemukan oleh Push Security, memanfaatkan iklan Google untuk memancing pengguna yang mencari ChatGPT. Iklan tersebut mengarahkan korban ke halaman berbagi ChatGPT yang sebenarnya, namun dengan tampilan yang telah dimodifikasi secara jahat.
Ketika pengguna mengklik iklan Google yang menipu, mereka akan dibawa ke halaman berbagi ChatGPT yang sah, yang beralamat di domain chatgpt.com/s/. Namun, alih-alih menampilkan percakapan obrolan, halaman tersebut menampilkan pemberitahuan palsu yang mengklaim bahwa versi web ChatGPT sedang tidak tersedia karena lalu lintas tinggi. Pesan tersebut berbunyi, “Kami sedang mengalami lalu lintas tinggi saat ini. Situs web kami sementara tidak tersedia karena banyaknya pengguna. Unduh aplikasi desktop kami untuk melanjutkan.”
Baca Juga: Microsoft Ungkap 14 Paket npm Berbahaya Peniru OpenSearch dan Elasticsearch
Yang membuat serangan ini sangat berbahaya adalah fakta bahwa pemberitahuan gangguan palsu ini dirender langsung melalui ChatGPT itu sendiri. Para penyerang membuat halaman HTML kustom menggunakan kemampuan rendering ChatGPT dan mempublikasikannya melalui tautan berbagi, sehingga pemberitahuan palsu tersebut ditampilkan dari URL ChatGPT yang sah.
Hal ini memberikan kesan kredibilitas yang tinggi, karena pengguna melihat domain resmi OpenAI.
Push Security juga mencatat bahwa halaman tersebut bahkan menyertakan kontrol “Show code” dan “Remix with ChatGPT”, yang secara tidak langsung mengungkapkan bahwa pemberitahuan gangguan palsu tersebut sebenarnya dihasilkan dari HTML dan CSS kustom yang dirender oleh prompt ChatGPT.
Jika pengunjung mengklik tombol unduh yang tertera di halaman palsu tersebut, mereka akan diarahkan ke situs web di openew[. ]app.
Situs ini dirancang untuk meniru portal unduhan aplikasi desktop resmi OpenAI. Namun, situs ini menggunakan teknik cloaking, di mana ia hanya menampilkan konten berbahaya kepada korban yang ditargetkan.
Ketika platform keamanan seperti URLScan mengunjungi URL tersebut, mereka justru diperlihatkan situs web perusahaan AR/VR yang tidak berbahaya, sehingga menyulitkan deteksi.
Situs palsu ini menawarkan unduhan untuk perangkat macOS dan Windows yang, setelah diinstal, akan menyebarkan malware ke perangkat korban. Meskipun jenis muatan spesifik yang disebarkan tidak selalu jelas, kampanye sebelumnya yang menyalahgunakan fitur berbagi platform AI sering kali mendistribusikan infostealer, yaitu malware yang dirancang untuk mencuri informasi sensitif dari perangkat pengguna.
Insiden ini bukanlah kasus pertama penyalahgunaan fitur berbagi pada platform AI. Sebelumnya, telah diamati serangan serupa yang menyalahgunakan Claude Artifacts, fitur Anthropic untuk berbagi aplikasi dan konten yang dirender.
Serangan tersebut menggunakan umpan gaya ClickFix yang menipu pengguna untuk menjalankan perintah berbahaya. Selain itu, penjahat siber juga pernah menggunakan iklan Google untuk mengarahkan pengguna yang mencari unduhan Claude ke percakapan Claude yang dibagikan, yang berisi instruksi instalasi berbahaya.
Kampanye lain juga menyalahgunakan percakapan ChatGPT dan Grok yang dibagikan untuk melakukan serangan ClickFix, dengan menyamar sebagai panduan instalasi perangkat lunak yang menginstruksikan korban untuk menjalankan perintah yang menginstal malware. Ini menunjukkan pola yang mengkhawatirkan di mana fitur-fitur yang dirancang untuk kemudahan berbagi justru menjadi vektor baru bagi serangan siber.
Insiden ini menjadi pengingat penting bagi pengguna untuk selalu waspada. Meskipun tautan terlihat berasal dari domain resmi, penting untuk memverifikasi keaslian setiap permintaan unduhan atau instruksi yang mencurigakan.
Baca Juga: Kimsuky Gunakan HTTPSpy dan Taktik Baru, Targetkan Militer Korea Selatan
Selalu unduh aplikasi dari sumber resmi dan berhati-hati terhadap iklan yang mengarahkan ke halaman yang tidak biasa, bahkan jika itu terlihat seperti bagian dari platform yang Anda kenal.
Leave a Comment