Suara.com - Pengguna asisten pintar berbasis teknologi kecerdasan buatan (AI) harus lebih waspada saat ini karena telah ditemukan malware baru yang menyamar sebagai asisten AI dan dapat mencuri data pribadi pengguna.
Trojan tersebut ditemukan melalui aplikasi Large Language Model (LLM) palsu DeepSeek-R1 untuk PC oleh para peneliti Kaspersky GReAT. Malware tersebut didistribusi melalui situs phising yang berpura-pura menjadi beranda resmi DeepSeek dan dipromosikan melalui Google Ads.
Temuan ini harus menjadi perhatian karena DeepSeek cukup sering digunakan sebagai asisten AI, selain ChatGPT dan Gemini AI.
Menurut keterangan resmi yang diterima Suara.com, tujuan serangan tersebut adalah untuk memasang BrowserVenom, malware yang mengonfigurasi peramban web pada perangkat korban untuk menyalurkan lalu lintas web melalui server penyerang, sehingga memungkinkan pengumpulan data pengguna.
![Ilustrasi DeepSeek. [Pexels]](https://media.suara.com/pictures/653x366/2025/03/19/12309-ilustrasi-deepseek.jpg)
Data-data yang dikumpulkan umumnya bersifat kredensial dan sensitif. Dilaporkan bahwa infeksi malware baru ini telah terdeteksi di sejumlah negara, seperti Brasil, Kuba, Meksiko, India, Nepal, Mesir, dan Afrika Selatan.
Skema yang dijalankan akan membuat pengguna diarahkan ke situs phising yang meniru alamat platform DeepSeek asli melalui iklan Google. Situs itu akan muncul di iklan ketika pengguna mencari "deepseek r1" pada laman pencarian.
Setelah pengguna mengklik situs DeepSeek palsu tersebut, pemeriksaan akan dilakukan untuk mengidentifikasi sistem operasi di perangkat pengguna. Jika target menggunakan Windows, maka pengguna akan diberikan tombol untuk mengunduh alat untuk menggunakan LLM secara offline.
Ditemukan bahwa sistem operasi lain tidak menjadi target pada saat penelitian. Sebagai informasi, DeepSeek juga dapat dijalankan secara offline di PC menggunakan alat seperti Ollama atau LM Studio, dan penyerang memanfaatkan cara ini dalam mendistribusikan malware tersebut.
Kemudian, setelah pengguna mengklik tombol dan lulus uji CAPTCHA, file penginstal berbahaya diunduh dan pengguna diberikan pilihan untuk mengunduh dan menginstal Ollama atau LM Studio.
Jika salah satu pilihan dipilih, bersama dengan penginstal Ollama atau LM Studio yang sah, malware akan terinstal di sistem dan melewati perlindungan Windows Defender dengan algoritma khusus.
Menariknya, prosedur ini memerlukan hak istimewa administrator untuk profil pengguna di Windows. Oleh karena itu, jika profil pengguna di Windows tidak memiliki hak istimewa ini, infeksi malware tidak akan terjadi.
Setelah malware berbahaya terinstal, malware akan mengonfigurasi semua peramban web dalam sistem untuk secara paksa menggunakan proxy yang dikendalikan oleh penyerang, yang memungkinkan mereka untuk memata-matai data penelusuran sensitif dan memantau aktivitas penelusuran korban.
Mengingat sifatnya yang memaksa, maka para peneliti Kaspersky menjuluki malware tersebut sebagai BrowserVenom.
Menurut para ahli, penjahat siber saat ini semakin mengeksploitasi popularitas alat AI sumber terbuka dengan mendistribusikan paket berbahaya dan penginstal palsu yang dapat secara diam-diam menginstal keylogger, cryptominer, atau infostealer.
Alat palsu ini membahayakan data sensitif pengguna dan menimbulkan ancaman, terutama ketika pengguna telah mengunduhnya dari sumber yang tidak terverifikasi.
TERPOPULER
