Sebar Tautan Racun AI Chatbot Kena Prank

Sebar Tautan Racun AI Chatbot Kena Prank – Sebuah operasi kejahatan siber berskala besar tengah aktif membidik para pemilik sistem komputer berspesifikasi tinggi (high-performance computers).

Serangan ini menyebar melalui operasi manipulasi hasil mesin pencari (SEO Poisoning) yang terkoordinasi rapi, serta taktik baru yang sangat mengkhawatirkan, memanipulasi rekomendasi asisten Kecerdasan Buatan (AI Chatbot) guna mengarahkan korban ke situs berbahaya.

Proses kompromi ini menyasar halaman unduhan palsu untuk perangkat lunak utilitas yang sangat umum dipasang oleh para pemilik komputer berspesifikasi tinggi atau komputer gaming.

Beberapa aplikasi tepercaya yang dicatut namanya meliputi:

CrystalDiskInfo.
HWMonitor.
Display Driver Uninstaller (DDU).
FurMark.
K-Lite Codec Pack.
PDFgear.

Berdasarkan investigasi dari para peneliti siber di Microsoft, begitu sistem terinfeksi, penyerang tidak hanya menanam alat penambang digital (crypto miner), melainkan juga menanamkan perangkat lunak manajemen jarak jauh resmi, ScreenConnect.

Langkah ini menjamin peretas mendapatkan akses persisten jangka panjang yang sewaktu-waktu dapat digunakan untuk menyisipkan malware tambahan yang jauh lebih merusak.

Sebar Racun AI Chatbot Dikibuli

Awal dari rantai serangan ini terjadi saat pengguna mencari tautan unduhan untuk salah satu aplikasi utilitas di atas melalui mesin pencari dan disodori situs web palsu yang peringkatnya telah didongkrak secara manipulatif lewat teknik SEO Poisoning.

Namun, laporan mendalam pada April 2026 mengungkap sebuah lonjakan taktik baru yang jauh lebih licik. Pengguna dilaporkan diarahkan ke domain berbahaya milik penyerang setelah mereka berinteraksi dan bertanya kepada asisten berbasis AI (seperti ChatGPT).

“Dalam beberapa kasus, pengguna yang meminta rekomendasi tautan unduhan perangkat lunak kepada chatbot AI disodori tautan yang mengarah ke domain di bawah kendali penyerang di dalam respons teks yang dihasilkan robot tersebut,” papar laporan resmi dari Microsoft.

File unduhan berbahaya tersebut dikemas dalam bentuk berkas arsip ZIP yang di-host pada subdomain gleeze[.]com sebuah domain yang telah lama masuk dalam daftar hitam intelijen siber karena kerap diasosiasikan dengan situs penipuan phising.

Pembajakan Sistem Lewat ScreenConnect

Untuk meredam kecurigaan korban, berkas ZIP yang diunduh sebenarnya tetap berisi file eksekusi (executable) resmi dari aplikasi utilitas yang dicari. Namun, peretas menyisipkan sebuah file DLL berbahaya di dalam folder yang sama.

Teknik ini disebut DLL Side-Loading, di mana file DLL jahat tersebut akan otomatis ikut termuat di dalam memori saat korban menjalankan aplikasi utilitas yang bersih.

Para peneliti memetakan alur infeksi teknis pasca-eksekusi di mana file DLL berbahaya menggunakan utilitas bawaan Windows msiexec.exe.

Bertujuan untuk memasang berkas vcredist_x64.dll, yang sebenarnya merupakan paket instalasi tersembunyi untuk alat akses jarak jauh ScreenConnect.

Setelah sesi komunikasi ScreenConnect berhasil dibangun antara komputer korban dan peretas, pelaku menjatuhkan biner tambahan bernama SimpleRunPE.exe.

Berkas ini menyalin dirinya sendiri menjadi RuntimeHost.exe ke dalam folder sistem yang disembunyikan dari Windows Explorer.

Berkas tersebut kemudian dikonfigurasi untuk membangun enam mekanisme pertahanan persisten di berbagai lokasi autostart Windows, memastikan malware tetap aktif setiap kali komputer dinyalakan.

Dalam beberapa varian, skrip PowerShell digunakan untuk menjatuhkan biner ini secara lokal dengan nama vlc.exe demi menyamar sebagai pemutar media VideoLAN (VLC) yang populer.

Sebar Tautan Racun AI Chatbot Kena Prank — Image credit: magnific

Teknik Process Hollowing

Berdasarkan jalur Program Database (PDB) pada file SimpleRunPE.exe, para peneliti mendeteksi bahwa kode ini merupakan hasil modifikasi (fork) dari repositori publik yang mendemonstrasikan teknik Process Hollowing.

Guna menyembunyikan aktivitasnya dari pemindaian manajer tugas (Task Manager), biner berbahaya ini meluncurkan proses utilitas Windows resmi yang telah ditandatangani digital oleh Microsoft, kemudian mengosongkan isi memori aslinya dan menggantinya dengan kode malware.

Beberapa proses Windows tepercaya yang kerap dibajak meliputi:

InstallUtil.exe.
RegAsm.exe.
RegSvcs.exe.
MSBuild.exe.
AppLaunch.exe.
AddInProcess.exe.
dan aspnet_compiler.exe.

Alur kerja persembunyian malware ini berjalan secara sistematis. Sebagai berikut:

Malware melakukan deteksi lingkungan dengan memeriksa apakah dirinya berjalan di dalam lingkungan mesin virtual (VM).
Kemudian memindai keberadaan 40 nama proses yang sesuai dengan perangkat analisis forensik siber.
Jika ada alat deteksi yang ditemukan, malware akan langsung menghentikan operasinya seketika demi menghindari pengendusan oleh analis keamanan.
Jika lingkungan dirasa aman, malware mengeksekusi skrip PowerShell untuk memasukkan jalur folder dan nama prosesnya ke dalam daftar pengecualian (exclusion list) pada Microsoft Defender, sehingga antivirus bawaan tersebut dilarang memindai aktivitasnya.
Setelah itu, barulah teknik Process Hollowing dijalankan untuk menyuntikkan kode ke dalam utilitas Windows yang sah.
Setelah sukses bersembunyi di dalam proses resmi, barulah sistem mengunduh dan mengoperasikan modul penambang kripto utama.

Maksimalisasi Eksploitasi Kartu Grafis (GPU)

Setelah berhasil bersembunyi di balik proses utilitas resmi Microsoft, malware akan mengunduh salah satu dari tiga modul penambang kripto populer: gminer, lolMiner, atau SRBMiner-MULTI.

Ketiga program penambang ini dipilih secara spesifik karena dirancang secara otomatis untuk memeras tenaga Unit Pemroses Grafis (GPU) atau kartu grafis berspesifikasi tinggi (seperti seri Nvidia RTX atau AMD Radeon).

Kampanye cryptojacking ini dinilai sangat unik karena peretas tidak fokus pada kuantitas jumlah perangkat yang terinfeksi (volume).

Melainkan pada strategi monetisasi yang menargetkan komputer-komputer “monster” demi memaksimalkan hasil penambangan mata uang kripto per satu perangkat yang berhasil dikuasai.

Langkah Mitigasi dan Strategi Pertahanan dari ESET

Menghadapi taktik serangan yang mampu mengelabui rekomendasi kecerdasan buatan dan mematikan fungsi deteksi antivirus bawaan ini, organisasi dan pengguna mandiri wajib menerapkan strategi pertahanan berlapis:

1. Ketik Alamat Situs Resmi Secara Manual.

Jangan pernah mengklik tautan unduhan perangkat lunak utilitas sensitif dari hasil pencarian bersponsor maupun rekomendasi instan chatbot AI.

Buka peramban dan langsung menuju ke situs repositori resmi pembuatnya (misalnya, langsung ke situs resmi CrystalMark atau menggunakan pengelola paket resmi seperti Windows Package Manager / winget).

2. Audit Daftar Pengecualian Antivirus.

Lakukan pemeriksaan berkala pada pengaturan Microsoft Defender Anda.

Pastikan tidak ada folder mencurar atau proses biner tidak dikenal yang masuk ke dalam daftar pengecualian pemindaian (Exclusion List).

3. Pantau Aktivitas Process Hollowing.

Konfigurasikan sistem pemantauan internal untuk mendeteksi jika ada utilitas sistem seperti:

MSBuild.exe.
RegAsm.exe.

Yang bisa memicu koneksi jaringan keluar (outbound connection) ke alamat IP eksternal yang tidak dikenal, karena ini merupakan indikator kuat terjadinya pembajakan memori.

Pelajaran Krusial

Kampanye cryptojacking di pertengahan tahun 2026 ini memberikan pelajaran krusial bagi lanskap keamanan digital: kecanggihan teknologi AI generatif kini telah dieksploitasi oleh aktor ancaman untuk menyebarkan racun digital secara otomatis.

Menargetkan pemilik komputer berspesifikasi tinggi melalui manipulasi utilitas sistem membuktikan bahwa peretas kian fokus pada efisiensi nilai jarahan.

Dengan menghentikan kepercayaan buta pada hasil pencarian instan, memperketat pengawasan proses memori, serta mengandalkan solusi proteksi proaktif yang kuat,

Kita dapat memastikan komputer berperforma tinggi milik kita tetap berfungsi sebagai alat produktivitas yang aman, bukan ladang tambang liar bagi para kriminal siber.

Baca artikel lainnya: