Bisnis.com, JAKARTA – Para pengguna komputer pribadi alias PC (personal computer) harus berhati-hati dengan malware anyar melalui aplikasi Large Language Model (LLM) palsu DeepSeek-R1. Dengan cara itu, malware trojan didistribusikan melalui aplikasi palsu tersebut.
Peneliti Keamanan di Kaspersky’s GReAT Lisandro Ubiedo dalam temuan terbarunya mengatakan alat palsu ini membahayakan data sensitif pengguna dan menimbulkan ancaman. Terutama, ketika pengguna telah mengunduhnya dari sumber yang tidak terverifikasi.
“Penjahat siber semakin mengeksploitasi popularitas alat AI sumber terbuka dengan mendistribusikan paket berbahaya dan penginstal palsu yang dapat secara diam-diam menginstal keylogger, cryptominer, atau infostealer,” kata dia dalam siaran pers, Senin (16/6/2025).
Malware yang sebelumnya tidak dikenal tersebut dikirimkan melalui situs phishing yang berpura-pura menjadi beranda resmi DeepSeek yang dipromosikan melalui Google Ads. Tujuan serangan adalah memasang BrowserVenom.
Yakni, malware yang mengonfigurasi peramban web pada perangkat korban untuk menyalurkan lalu lintas web melalui server penyerang, sehingga memungkinkan pengumpulan data pengguna – kredensial dan informasi sensitif lainnya.
“Beberapa infeksi telah terdeteksi di Brasil, Kuba, Meksiko, India, Nepal, Afrika Selatan, dan Mesir,” ungkapnya.
Hal ini tidak lepas dari status DeepSeek-R1 sebagai salah satu LLM paling populer saat ini. Kaspersky sebelumnya telah melaporkan serangan dengan malware yang menirunya untuk menarik korban.
Selain itu, DeepSeek juga dapat dijalankan secara offline di PC menggunakan alat seperti Ollama atau LM Studio, dan penyerang menggunakan ini dalam kampanye mereka.
Pengguna diarahkan ke situs phishing yang meniru alamat platform DeepSeek asli melalui Google Ads, dengan tautan yang muncul di iklan saat pengguna menelusuri "deepseek r1".
Setelah pengguna mencapai situs DeepSeek palsu, pemeriksaan dilakukan untuk mengidentifikasi sistem operasi korban. Apabila menggunakan Windows, pengguna akan diberikan tombol mengunduh alat untuk bekerja dengan LLM secara offline.
“Sistem operasi lain tidak menjadi target pada saat penelitian,” tambahnya.
Setelah mengklik tombol dan lulus uji CAPTCHA, file penginstal berbahaya diunduh dan pengguna diberikan pilihan untuk mengunduh dan menginstal Ollama atau LM Studio. Apabila salah satu pilihan dipilih, bersama dengan penginstal Ollama atau LM Studio yang sah, malware akan terinstal di sistem dan melewati perlindungan Windows Defender dengan algoritma khusus.
Prosedur ini juga memerlukan hak istimewa administrator untuk profil pengguna di Windows; jika profil pengguna di Windows tidak memiliki hak istimewa ini, infeksi tidak akan terjadi.
Setelah terinstal, malware akan mengonfigurasi semua peramban web dalam sistem untuk secara paksa menggunakan proxy yang dikendalikan oleh penyerang, yang memungkinkan mereka untuk memata-matai data penelusuran sensitif dan memantau aktivitas penelusuran korban.
Untuk menghindari ancaman semacam itu, Kaspersky merekomendasikan 5 langkah, yaitu periksa alamat situs web untuk memverifikasi keasliannya dan menghindari penipuan; unduh alat LLM offline hanya dari sumber resmi (misalnya, ollama.com, lmstudio.ai).
Kemudian, gunakan solusi keamanan tepercaya untuk mencegah peluncuran file berbahaya; pastikan hasil pencarian internet memang sah; serta hindari menggunakan Windows pada profil dengan hak istimewa admin.
