Waspada, Hacker Gunakan Google Ads dan Chat Claude.ai untuk Incar Pengguna Mac

Liputan6.com, Jakarta - Serangan malvertising (iklan berbahaya) aktif dilaporkan tengah menyasar pengguna macOS dengan memanfaatkan reputasi Google Ads dan fitur chat pada platform Claude.ai.

Peretasan ini bertujuan untuk mengelabui pengguna agar hacker (pelaku serangan) bisa memasang malware pencuri data melalui perintah Terminal yang tampak resmi.

Kampanye ini pertama kali diidentifikasi oleh Berk Albayrak, seorang insinyur keamanan di Trendyol Group. Modus yang digunakan tergolong cerdik, saat pengguna mencari kata kunci seperti "Claude mac download" di Google, akan muncul iklan bersponsor yang mencantumkan claude.ai sebagai situs tujuan.

Berbeda dengan skema phishing tradisional yang menggunakan domain palsu, iklan ini benar-benar mengarahkan pengguna ke situs resmi Anthropic (Claude.ai).

Namun, tautan tersebut merujuk pada fitur shared chat yang telah disiapkan peretas. Di dalam obrolan tersebut, instruksi yang diklaim sebagai "Panduan Instalasi Resmi Claude Code di Mac" dari "Apple Support" meminta pengguna untuk menyalin dan menempelkan perintah tertentu ke dalam Terminal.

Berdasarkan investigasi BleepingComputer, dikutip Rabu (13/5/2026), terdapat dua varian serangan dengan infrastruktur berbeda namun memiliki pola social engineering yang identik.

1. Eksekusi di Memori: Perintah yang ditempelkan pengguna akan mengunduh skrip shell yang dikompresi. Skrip ini berjalan sepenuhnya di dalam memori RAM, sehingga meminimalisir jejak fisik pada disk yang biasanya dipindai oleh antivirus.
2. Pengiriman Polimorfik: Server penyerang mengirimkan versi payload yang diacak secara unik pada setiap permintaan. Teknik ini membuat perangkat keamanan sulit mendeteksi malware berdasarkan tanda tangan (signature) atau hash yang diketahui.

Salah satu varian akan memeriksa konfigurasi keyboard korban. Jika terdeteksi menggunakan tata letak Rusia atau wilayah CIS (Commonwealth of Independent States), skrip akan berhenti secara otomatis. Hal ini mengindikasikan bahwa kelompok penyerang berupaya menghindari target di wilayah tertentu.

Setelah berhasil menginfeksi, malware yang diidentifikasi sebagai varian MacSync ini akan mulai memanen data sensitif, meliputi:

• Kredensial dan cookie peramban (browser).
• Isi dari macOS Keychain (tempat penyimpanan kata sandi sistem).
• Informasi perangkat seperti alamat IP eksternal, versi OS, dan nama hostname.

Data tersebut kemudian dikemas dan dikirim (exfiltrate) ke server milik penyerang menggunakan mesin skrip bawaan macOS, osascript, yang memberikan kemampuan eksekusi kode jarak jauh tanpa perlu memasang aplikasi tambahan.

Penyalahgunaan fitur AI untuk menyebarkan malware bukan hal baru, yang mana serangan serupa pernah menyasar pengguna ChatGPT dan Grok pada akhir tahun lalu.

Namun, penargetan terhadap pengguna Claude dikhawatirkan menjaring audiens yang lebih luas, termasuk pengguna non-teknis yang mungkin tidak curiga saat diminta menjalankan perintah Terminal.

Langkah Pencegahan

Pakar keamanan mengimbau pengguna untuk selalu waspada terhadap instruksi apa pun yang meminta penyalinan perintah ke Terminal, terlepas dari seberapa resmi sumber tersebut terlihat.

Untuk mengunduh aplikasi resmi, pengguna disarankan langsung menuju situs utama claude.ai atau mengikuti dokumentasi resmi Anthropic, alih-alih mengeklik hasil pencarian bersponsor.

Hingga berita ini diturunkan, pihak Google dan Anthropic telah dihubungi untuk memberikan keterangan lebih lanjut terkait penyalahgunaan platform mereka.