Waspada! Installer Palsu AI DeepSeek-R1 Sebarkan Malware Berbahaya ‘BrowserVenom’

Volubit.id — Kelompok kriminal siber diduga telah membuat installer palsu untuk model artificial intelligence (AI) asal Cina, DeepSeek-R1. Installer ini disusupi malware baru bernama “BrowserVenom” yang sebelumnya belum pernah terdeteksi.

Nama “BrowserVenom” diambil dari kemampuannya mengalihkan seluruh lalu lintas internet dari browser ke server yang dikendalikan oleh pelaku. Dengan cara ini, para penjahat bisa mencuri data, memantau aktivitas browsing, dan bahkan membaca data sensitif yang seharusnya terenkripsi.

Informasi seperti username dan password, session cookie, data rekening keuangan, email, hingga dokumen penting bisa jadi sasaran pencurian. Semua data ini sangat berharga untuk aksi penipuan digital atau dijual ke jaringan kriminal lainnya.

Menurut laporan perusahaan keamanan Kaspersky, malware ini telah menginfeksi banyak komputer di sejumlah negara, termasuk Brasil, Kuba, Meksiko, India, Nepal, Afrika Selatan, dan Mesir.

Malware tersebut disebarkan lewat tautan phishing yang mengarahkan korban ke situs palsu yang meniru tampilan halaman resmi DeepSeek. Kaspersky menyebut ancaman ini bersifat global dan masih terus berlangsung.

Meskipun malware yang digunakan tergolong baru, metode penyebarannya sudah sering digunakan. Para pelaku memanfaatkan tingginya minat publik terhadap AI untuk menyebarkan malware jahat.

Mereka membuat situs palsu dengan nama domain yang mirip dengan domain resmi penyedia teknologi AI. Lalu, mereka membeli iklan agar situs palsu ini muncul di urutan atas hasil pencarian di mesin pencari seperti Google.

Dalam kasus ini, pelaku menggunakan alamat: https[:]//deepseek-platform[.]com

Situs ini dipromosikan lewat iklan Google dan muncul di posisi teratas saat orang mencari “deepseek r1”. Pihak Google menyatakan mereka telah menghapus iklan tersebut dan menangguhkan akun pengiklannya begitu mengetahui tautan berbahaya ini.

Saat pengguna Windows membuka situs palsu itu, mereka akan diminta mengklik tombol bertuliskan “Try now”. Setelah tombol diklik, pengguna akan melihat halaman CAPTCHA palsu. Hal ini sengaja dibuat untuk memberi kesan situsnya legal.

Di balik layar, terdapat skrip tersembunyi yang memeriksa apakah pengunjung adalah manusia, bukan bot, agar pelaku hanya menargetkan korban yang “nyata”.

Setelah CAPTCHA diisi, korban diarahkan ke halaman unduhan yang menampilkan tombol “Download now”. Tombol ini akan mengunduh file berbahaya bernama AI_Launcher_1.21.exe dari situs: https://r1deepseek-ai[.]com/gg/cc/AI_Launcher_1.21.exe

Ketika file dijalankan, akan muncul jendela baru yang menampilkan CAPTCHA palsu (meniru tampilan Cloudflare).

Setelah itu, pengguna ditawari untuk menginstal Ollama atau LM Studio, dua program yang umum dipakai untuk menjalankan model AI. Namun pilihan itu hanya tipuan. Apapun yang diklik, malware BrowserVenom tetap akan berjalan.

Begitu aktif, malware akan mengecek apakah pengguna memiliki hak administrator. Jika tidak, proses infeksi dihentikan.

Namun jika ya, malware akan memasang sertifikat buatan, yang memungkinkan mereka menyadap dan mengakses koneksi internet korban secara permanen.

BrowserVenom juga menambahkan alamat proxy buatan ke semua browser yang terinstal, agar seluruh lalu lintas internet bisa dipantau oleh pelaku.

Menariknya, Kaspersky menemukan adanya komentar berbahasa Rusia di dalam kode situs palsu tersebut. Hal ini mengindikasikan para pelaku bisa jadi menggunakan bahasa Rusia, meskipun hingga kini belum ada identifikasi resmi terhadap kelompok atau individu yang terlibat.