Ransomware Browser Buatan AI Ancam Windows hingga Android


Ilustrasi Cyber Security 28

Ilustrasi Cyber Security

Perkembangan kecerdasan buatan kembali menghadirkan tantangan baru di dunia keamanan siber. Jika sebelumnya AI banyak dimanfaatkan untuk membantu produktivitas, pengembangan perangkat lunak, hingga otomatisasi pekerjaan, kini teknologi tersebut juga mulai dimanfaatkan untuk menciptakan teknik serangan siber yang semakin canggih.

Temuan terbaru dari Check Point Research mengungkap adanya malware yang dihasilkan menggunakan model AI DeepSeek. Malware tersebut dinilai sangat menarik perhatian karena memperkenalkan metode serangan baru berupa ransomware berbasis browser (In-Browser Ransomware) yang mampu berjalan hampir sepenuhnya melalui browser tanpa harus memasang aplikasi berbahaya di komputer korban.

Para peneliti menyebut penemuan ini sebagai tonggak baru dalam evolusi ancaman siber. Untuk pertama kalinya, model AI berhasil menghubungkan kemampuan bawaan browser dengan konsep ransomware yang selama ini hanya dianggap sebagai teori dan sulit diwujudkan akibat keterbatasan sistem keamanan browser modern.

Menurut Check Point Research, perkembangan ini menunjukkan bahwa AI kini tidak hanya membantu mempercepat pembuatan malware, tetapi juga mampu menemukan jalur serangan baru yang sebelumnya belum pernah digunakan dalam serangan nyata.

 

AI Menemukan Jalur Serangan Baru

Selama bertahun-tahun, browser modern dirancang dengan berbagai mekanisme keamanan seperti sandbox untuk mencegah situs web mengakses sistem operasi secara langsung. Perlindungan tersebut membuat banyak peneliti menganggap ransomware yang berjalan sepenuhnya di browser hampir mustahil diwujudkan.

Namun, penelitian terbaru membuktikan sebaliknya.

Model AI DeepSeek berhasil menghasilkan rancangan serangan yang memanfaatkan fitur resmi browser sehingga mampu mengenkripsi file korban tanpa memerlukan malware tradisional maupun hak akses administrator.

Check Point menyatakan bahwa kasus ini merupakan bukti pertama yang terdokumentasi di mana model AI mampu mengubah konsep teoritis menjadi serangan yang benar-benar dapat dijalankan.

Peneliti juga mengingatkan bahwa kemampuan menemukan metode serangan baru kini bukan lagi menjadi hambatan utama bagi pelaku kejahatan siber. Dengan bantuan AI, seseorang yang memiliki kemampuan teknis terbatas pun berpotensi menghasilkan malware yang sebelumnya hanya dapat dibuat oleh peneliti keamanan atau pengembang malware berpengalaman.

 

Menyamar Sebagai Layanan AI untuk Discord

Sampel malware yang dianalisis berupa aplikasi Python Flask bernama

deepseek_python_20260125_da0631.py. 

File tersebut pertama kali ditemukan setelah diunggah ke VirusTotal pada 25 Januari 2026. Layanan analisis malware tersebut mengidentifikasinya sebagai toolkit yang menggabungkan fungsi pencurian data dan ransomware dalam satu paket lengkap.

Pembuat malware memberi nama program tersebut InfernoGrabber v9.0.

Untuk menarik korban, aplikasi ini menyamar sebagai layanan AI yang diklaim mampu meningkatkan kualitas avatar Discord menggunakan teknologi pembesaran gambar berbasis kecerdasan buatan. Ketika korban mengakses layanan palsu tersebut, aplikasi diam-diam menjalankan berbagai aktivitas berbahaya tanpa disadari pengguna.

 

Mampu Mencuri Berbagai Data Sensitif

Kemampuan malware ini jauh melampaui ransomware biasa.

Selain mengenkripsi file korban, InfernoGrabber v9.0 juga memiliki kemampuan mencuri berbagai informasi penting, antara lain token akun Discord, nomor kartu kredit, seed phrase dompet cryptocurrency, hingga merekam setiap tombol keyboard yang ditekan pengguna melalui teknik keylogging.

Tidak berhenti di situ, malware juga mampu mengaktifkan webcam serta mikrofon tanpa sepengetahuan korban untuk mengumpulkan informasi tambahan.

Menurut hasil analisis VirusTotal, malware tersebut juga dibekali berbagai komponen lain seperti eksploitasi terhadap kerentanan browser, termasuk CVE-2023-4863, mekanisme pengiriman data curian melalui Discord webhook yang telah ditentukan, layar ransomware bergaya WinLocker yang meminta pembayaran tebusan menggunakan Bitcoin, hingga dashboard administrator yang memungkinkan pelaku memantau seluruh hasil pencurian secara terpusat.

Gabungan berbagai fitur tersebut membuat malware ini dapat berfungsi sebagai platform serangan lengkap, mulai dari pencurian identitas hingga pemerasan digital.

 

AI Mempermudah Pembuatan Malware

Temuan ini sekaligus memperlihatkan bagaimana perkembangan Large Language Models (LLM) mulai mengubah lanskap ancaman siber secara signifikan. Sebelumnya, pembuatan malware membutuhkan kemampuan pemrograman yang tinggi serta pemahaman mendalam mengenai sistem operasi maupun eksploitasi keamanan.

Kini, sebagian proses tersebut dapat dilakukan dengan bantuan AI.

Check Point menyoroti penggunaan DeepSeek karena model AI tersebut dinilai memiliki tingkat penolakan yang lebih rendah terhadap permintaan yang berpotensi disalahgunakan dibandingkan beberapa model AI lain.

Selain itu, DeepSeek juga tersedia secara gratis melalui antarmuka web serta dapat diakses di sejumlah wilayah yang belum mendukung layanan AI komersial lainnya. Yang paling mengkhawatirkan adalah kemampuan model tersebut menghasilkan aplikasi berbahaya hanya dari satu prompt umum tanpa membutuhkan instruksi teknis yang sangat rinci.

Artinya, pengguna tidak perlu memahami detail pemrograman untuk memperoleh contoh kode malware yang dapat berfungsi.

 

Ribuan File Berkaitan dengan DeepSeek Dianalisis

Sebagai bagian dari penelitian, Check Point Research menganalisis sekitar 3.000 file yang berkaitan dengan penggunaan DeepSeek selama satu tahun terakhir. Hasilnya cukup mengejutkan.

Sebanyak 1.383 file dikategorikan sebagai berbahaya atau memiliki risiko tinggi.

Salah satunya adalah malware Python yang menggunakan teknik In-Browser Ransomware, yaitu ransomware yang berjalan sepenuhnya melalui browser. Menariknya, para peneliti tidak mengetahui prompt asli yang digunakan untuk menghasilkan malware tersebut sehingga belum dapat dipastikan bagaimana AI menyusun keseluruhan rantai serangan tersebut.

 

Memanfaatkan File System Access API

Teknik ransomware ini memanfaatkan File System Access API, yaitu fitur resmi yang tersedia pada browser berbasis Chromium. API tersebut sebenarnya dibuat untuk memudahkan aplikasi web mengakses file lokal setelah memperoleh izin dari pengguna. Fitur ini memungkinkan aplikasi berbasis web bekerja layaknya aplikasi desktop, misalnya untuk membuka, menyimpan, maupun mengedit dokumen langsung dari browser.

Namun dalam skenario yang ditemukan Check Point, kemampuan tersebut justru dimanfaatkan sebagai jalur serangan. Korban terlebih dahulu diarahkan menuju halaman phishing yang tampak meyakinkan.

Selanjutnya, korban diminta memberikan izin kepada browser untuk mengakses folder tertentu di perangkat. Begitu izin diberikan, malware mulai bekerja.

Browser akan membaca seluruh isi folder yang dipilih, menyalin file ke server milik penyerang, kemudian mengenkripsi file tersebut sebelum menimpa file asli.

Tahap terakhir adalah menampilkan pesan tebusan yang meminta korban membayar sejumlah uang agar file dapat dipulihkan. Seluruh proses tersebut berlangsung tanpa perlu memasang aplikasi tambahan maupun mengeksploitasi kelemahan sistem operasi.

 

Chrome, Edge, Linux hingga Android Berpotensi Terdampak

Karena teknik ini memanfaatkan File System Access API, browser yang berpotensi terdampak meliputi Google Chrome, Microsoft Edge, serta berbagai browser lain yang dibangun menggunakan mesin Chromium.

Sementara itu, platform yang mendukung API tersebut mencakup Windows, macOS, Linux, ChromeOS, dan Android. Dalam pengujian yang dilakukan Check Point, teknik serangan berhasil dijalankan pada seluruh platform tersebut.

Satu-satunya pengecualian adalah perangkat iPhone dan iPad berbasis iOS, di mana peneliti belum berhasil mereproduksi serangan yang sama.

Menurut Pedro Drimel Neto, pemimpin tim analisis malware Check Point Research, luasnya dukungan File System Access API membuat permukaan serangan jauh lebih besar daripada yang diperkirakan sebelumnya. Dengan dominasi browser Chromium di pasar desktop maupun Android, potensi pengguna yang dapat menjadi sasaran pun sangat besar apabila teknik serangan ini benar-benar diadopsi oleh kelompok kriminal siber.

Meski demikian, hingga saat ini Check Point menegaskan belum menemukan bukti bahwa metode ransomware berbasis browser tersebut telah digunakan dalam serangan nyata di internet.

 

Halusinasi AI Justru Menghasilkan Teknik Berbahaya

Salah satu temuan paling menarik dari penelitian ini adalah bagaimana AI dapat menghasilkan teknik yang sebelumnya tidak terpikirkan oleh pembuat prompt. Peneliti menjelaskan bahwa pengguna bahkan tidak perlu mengetahui keberadaan File System Access API ataupun memahami cara mengeksploitasinya.

Cukup dengan memberikan instruksi umum mengenai ransomware berbasis browser, model AI dapat menyusun pendekatan teknis yang ternyata dapat bekerja.

Dalam beberapa kasus, proses tersebut muncul akibat fenomena yang dikenal sebagai AI hallucination, yaitu ketika model AI menghasilkan jawaban yang tidak sepenuhnya didasarkan pada data pelatihan, tetapi tetap mampu menyusun solusi yang masuk akal.

Ironisnya, dalam konteks ini halusinasi AI justru menghasilkan metode serangan baru yang fungsional.

Check Point menilai kondisi tersebut memperlihatkan bahwa AI tidak hanya mempercepat pembuatan malware, tetapi juga dapat membantu menemukan teknik eksploitasi yang sebelumnya belum pernah digunakan.

 

Pelaku Kejahatan Mulai Memilih Model AI yang Paling "Kooperatif"

Penelitian ini juga mengungkap perubahan perilaku para pelaku kejahatan siber. Jika sebelumnya mereka memilih alat berdasarkan kemampuan teknis, kini mereka mulai memilih model AI berdasarkan tingkat kesediaannya memenuhi permintaan berbahaya.

Semakin rendah tingkat penolakan sebuah model terhadap permintaan yang berpotensi disalahgunakan, semakin besar peluang model tersebut dimanfaatkan untuk menghasilkan malware maupun eksploitasi baru.

Fenomena tersebut menjadi tantangan baru bagi pengembang AI dalam menyeimbangkan kemampuan model dengan mekanisme pengamanan agar tidak mudah dimanfaatkan untuk aktivitas kriminal.

 

Organisasi Diminta Mengubah Pendekatan Keamanan

Melihat perkembangan tersebut, Check Point meminta organisasi tidak lagi menganggap permintaan izin browser sebagai proses biasa. Setiap notifikasi yang meminta akses terhadap file lokal harus diperlakukan sebagai keputusan keamanan yang penting.

Selain itu, perusahaan juga disarankan memperkuat lapisan keamanan aplikasi, meninjau kembali mekanisme kepercayaan yang hanya bergantung pada persetujuan pengguna, serta meningkatkan edukasi keamanan siber kepada karyawan.

Meskipun teknik ransomware berbasis browser ini belum ditemukan dalam serangan nyata, penelitian tersebut menunjukkan bahwa AI telah membuka babak baru dalam evolusi ancaman siber.

Jika sebelumnya penemuan teknik eksploitasi baru hampir selalu berasal dari peneliti keamanan atau kelompok peretas berpengalaman, kini model AI berpotensi menjadi pihak yang secara tidak sengaja menemukan jalur serangan baru.

Kondisi tersebut menjadi peringatan bagi industri keamanan siber bahwa perlindungan terhadap ancaman berbasis AI tidak lagi cukup hanya mengandalkan kemampuan model untuk menolak permintaan berbahaya. Organisasi perlu mulai mengantisipasi kemungkinan munculnya teknik serangan baru yang lahir dari kemampuan AI menghubungkan berbagai fitur sah menjadi rantai eksploitasi yang belum pernah diperkirakan sebelumnya.

Bagikan artikel ini

Komentar ()

Video Terkait