Mails-World JAKARTA – Para pengguna komputer pribadi atau PC (personal computer) harus meningkatkan kewaspadaan terhadap ancaman siber terbaru berupa malware berbahaya bernama BrowserVenom. Malware ini didistribusikan secara licik melalui aplikasi Large Language Model (LLM) palsu DeepSeek-R1, memanfaatkan popularitas kecerdasan buatan untuk mengelabui korban.
Menurut Lisandro Ubiedo, Peneliti Keamanan di Kaspersky’s GReAT, dalam temuan terbarunya, alat LLM palsu ini dirancang khusus untuk membahayakan data sensitif pengguna. Ancaman ini menjadi sangat signifikan, terutama ketika aplikasi diunduh dari sumber yang tidak terverifikasi. “Penjahat siber semakin mengeksploitasi popularitas alat AI sumber terbuka dengan mendistribusikan paket berbahaya dan penginstal palsu yang dapat secara diam-diam menginstal keylogger, cryptominer, atau infostealer,” ungkap Ubiedo dalam siaran persnya belum lama ini.
Malware yang sebelumnya tidak dikenal, BrowserVenom, disebarkan melalui situs phishing yang secara meyakinkan meniru beranda resmi DeepSeek. Situs palsu ini dipromosikan secara agresif melalui Google Ads, menjadikannya sangat sulit dibedakan dari situs aslinya. Tujuan utama serangan ini adalah memasang BrowserVenom, sebuah program jahat yang mengkonfigurasi peramban web pada perangkat korban untuk mengalirkan seluruh lalu lintas web melalui server penyerang. Metode ini memungkinkan pengumpulan data pengguna yang sangat krusial, termasuk kredensial dan informasi sensitif lainnya.
Infeksi BrowserVenom telah terdeteksi di berbagai negara seperti Brasil, Kuba, Meksiko, India, Nepal, Afrika Selatan, dan Mesir. Hal ini tidak terlepas dari status DeepSeek-R1 sebagai salah satu LLM paling populer dan diminati saat ini. Kaspersky sendiri sebelumnya telah melaporkan insiden serangan malware yang meniru DeepSeek untuk menarik korban, menunjukkan pola ancaman yang berulang.
Para penyerang memanfaatkan kemampuan DeepSeek untuk dijalankan secara offline di PC menggunakan alat seperti Ollama atau LM Studio. Pengguna yang mencari “deepseek r1” di Google diarahkan ke situs phishing peniru alamat platform DeepSeek asli melalui iklan berbayar (Google Ads). Setelah masuk ke situs palsu tersebut, sebuah pemeriksaan otomatis dilakukan untuk mengidentifikasi sistem operasi korban. Apabila terdeteksi menggunakan Windows, pengguna akan disodori tombol unduh untuk alat yang konon bekerja dengan LLM secara offline.
Sistem operasi lain dilaporkan tidak menjadi target pada saat penelitian. Setelah mengklik tombol unduh dan berhasil melewati uji CAPTCHA, sebuah file penginstal berbahaya akan diunduh. Pengguna kemudian diberikan pilihan untuk mengunduh dan menginstal Ollama atau LM Studio. Tragisnya, ketika salah satu pilihan tersebut dipilih, bersama dengan penginstal Ollama atau LM Studio yang sah, malware BrowserVenom juga akan terinstal secara diam-diam di sistem. Malware ini memiliki algoritma khusus untuk melewati perlindungan Windows Defender, serta memerlukan hak istimewa administrator pada profil pengguna di Windows agar infeksi dapat terjadi. Tanpa hak istimewa ini, proses infeksi akan terhenti.
Setelah terinstal, BrowserVenom segera mengkonfigurasi semua peramban web dalam sistem korban untuk secara paksa menggunakan proxy yang dikendalikan oleh penyerang. Konfigurasi ini memungkinkan mereka memata-matai data penelusuran yang sangat sensitif dan secara terus-menerus memantau aktivitas penelusuran korban, membahayakan privasi dan keamanan digital secara serius.
Untuk menghindari ancaman siber yang semakin canggih ini, Kaspersky merekomendasikan lima langkah penting bagi para pengguna PC:
Pertama, selalu periksa alamat situs web secara teliti untuk memverifikasi keasliannya dan menghindari jebakan phishing. Kedua, unduh alat LLM offline hanya dari sumber resmi dan terpercaya, seperti ollama.com atau lmstudio.ai. Ketiga, gunakan solusi keamanan tepercaya dan mutakhir untuk mencegah peluncuran file berbahaya di perangkat Anda. Keempat, pastikan hasil pencarian internet yang Anda klik memang sah dan bukan iklan berbayar yang menyesatkan. Terakhir, hindari menggunakan Windows pada profil dengan hak istimewa administrator untuk aktivitas sehari-hari, karena ini meminimalkan risiko infeksi malware yang memerlukan akses tinggi.
