havre-achat.com JAKARTA – Pengguna komputer pribadi (PC) kini perlu meningkatkan kewaspadaan terhadap ancaman siber terbaru: malware trojan yang didistribusikan melalui aplikasi Large Language Model (LLM) palsu DeepSeek-R1. Penipuan cerdik ini memanfaatkan popularitas teknologi AI untuk menjebak korbannya.
Peneliti Keamanan di Kaspersky’s GReAT, Lisandro Ubiedo, melalui temuan terbarunya, memperingatkan bahwa alat LLM palsu ini sangat membahayakan data sensitif pengguna. Ancaman serius muncul terutama jika pengguna mengunduh aplikasi dari sumber yang tidak terverifikasi. Menurutnya, “Penjahat siber semakin mengeksploitasi popularitas alat AI sumber terbuka dengan mendistribusikan paket berbahaya dan penginstal palsu yang dapat secara diam-diam menginstal keylogger, cryptominer, atau infostealer.” Pernyataan ini disampaikan dalam siaran pers pada Senin (16/6/2025).
: Kisah Pendiri DeepSeek, dari Anak dari Desa Terpencil hingga Jadi Miliarder
Serangan ini dirancang untuk memasang malware BrowserVenom, sebuah ancaman yang sebelumnya tidak dikenal, melalui situs phishing. Situs palsu ini menyamar sebagai beranda resmi DeepSeek dan dipromosikan secara agresif melalui Google Ads. Begitu aktif, BrowserVenom akan mengonfigurasi peramban web pada perangkat korban untuk mengalirkan seluruh lalu lintas internet melalui server penyerang. Cara licik ini memungkinkan mereka untuk mengumpulkan data pengguna, termasuk kredensial dan informasi sensitif lainnya.
: : Korea Selatan Melunak Terhadap Startup AI China DeepSeek
Kaspersky telah mendeteksi sejumlah infeksi malware DeepSeek-R1 palsu ini di berbagai negara, termasuk Brasil, Kuba, Meksiko, India, Nepal, Afrika Selatan, dan Mesir. Penyebaran ini tidak terlepas dari status DeepSeek-R1 sebagai salah satu LLM paling diminati saat ini. Kaspersky sendiri sebelumnya telah melaporkan upaya serangan dengan malware serupa yang meniru popularitas model AI untuk menjebak korban.
: : Trump Pertimbangkan Larang Warga AS Pakai AI DeepSeek, Kenapa?
Para penyerang juga mengeksploitasi fakta bahwa DeepSeek dapat dijalankan secara offline di PC menggunakan alat seperti Ollama atau LM Studio. Dalam kampanye mereka, pengguna diarahkan ke situs phishing yang meniru alamat platform DeepSeek asli melalui Google Ads. Tautan berbahaya ini muncul dalam iklan ketika pengguna mencari “deepseek r1” di mesin pencari.
Setelah pengguna berhasil mencapai situs DeepSeek palsu, sebuah pemeriksaan sistem operasi dilakukan untuk mengidentifikasi korban. Jika sistem operasi yang digunakan adalah Windows, pengguna akan disajikan tombol unduh untuk mendapatkan alat kerja LLM secara offline. Perlu dicatat, pada saat penelitian dilakukan, sistem operasi selain Windows tidak menjadi target serangan ini.
Apabila tombol unduh diklik dan pengguna berhasil melewati uji CAPTCHA, sebuah file penginstal berbahaya akan diunduh. Selanjutnya, pengguna diberikan pilihan untuk mengunduh dan menginstal Ollama atau LM Studio. Ketika salah satu pilihan ini dipilih, malware akan terinstal ke sistem bersamaan dengan penginstal Ollama atau LM Studio yang sah. Uniknya, malware ini dirancang dengan algoritma khusus yang memungkinkan ia melewati perlindungan Windows Defender.
Proses infeksi ini memerlukan hak istimewa administrator pada profil pengguna Windows. Jika profil pengguna tidak memiliki hak istimewa tersebut, infeksi tidak akan terjadi. Setelah berhasil terinstal, malware BrowserVenom akan secara paksa mengonfigurasi semua peramban web di sistem korban untuk menggunakan proxy yang dikendalikan oleh penyerang. Konfigurasi ini memberi mereka kemampuan untuk memata-matai data penjelajahan sensitif dan memantau aktivitas daring korban secara menyeluruh.
Untuk melindungi diri dari ancaman malware semacam ini, Kaspersky merekomendasikan lima langkah penting: pertama, selalu periksa alamat situs web untuk memverifikasi keasliannya dan menghindari penipuan. Kedua, unduh alat LLM offline hanya dari sumber resmi (misalnya, ollama.com, lmstudio.ai). Ketiga, gunakan solusi keamanan tepercaya untuk mencegah peluncuran file berbahaya. Keempat, pastikan hasil pencarian internet memang sah dan bukan iklan phishing. Terakhir, hindari menggunakan Windows pada profil dengan hak istimewa administrator secara rutin.
