Uma nova campanha de ciberataques está usando o WhatsApp como porta de entrada para infectar computadores no Brasil. Batizado de SORVEPOTEL, o malware visa a propagação em larga escala, explorando a confiança nas conversas para se espalhar automaticamente entre contatos e grupos do aplicativo.
Segundo levantamento da Trend Research, 457 dos 477 casos detectados até agora ocorreram no Brasil, com maior impacto em órgãos públicos e empresas dos setores de tecnologia, educação, construção e manufatura.
- Enquanto você lê esta notícia, outros investidores seguem uma estratégia validada — veja como automatizar suas operações também.
Golpe chega via arquivo ZIP em mensagens
O golpe começa com uma mensagem recebida pelo WhatsApp, geralmente enviada por um contato comprometido, que parece legítima. O texto, escrito em português, orienta o usuário a “baixar e abrir um arquivo ZIP no computador”, supostamente contendo um documento como orçamento, recibo ou comprovante.
Ao descompactar o arquivo, a vítima encontra um atalho do Windows (.LNK) disfarçado. Ao executá-lo, o sistema roda um script em segundo plano que baixa o malware de um servidor controlado pelos criminosos.
O mesmo método também foi identificado em campanhas de phishing (captura de dados) por e-mail, com anexos ZIP nomeados genericamente como “ComprovanteSantander” ou “Extrato”.
Malware cria persistência e conecta-se a servidores
Depois da execução, o malware baixa um arquivo em lote (.BAT) que se instala na pasta de inicialização do Windows, garantindo que o programa seja executado sempre que o computador for ligado.
- Veja quanto você pode economizar na conta de energia agora! Nossa equipe analisa sua fatura sem custo e apresenta o potencial de redução mensal
Esse script também se conecta a servidores de comando e controle (C&C) para receber instruções adicionais ou novos componentes maliciosos.
Para evitar detecção, o código usa técnicas de ofuscação e codificação em Base64, além de domínios falsos semelhantes a sites legítimos — como “sorvetenopotel” (uma variação de “sorvete no pote”) — para disfarçar o tráfego malicioso.
Propagação automática e suspensão de contas
Uma das principais características do SORVEPOTEL é sua capacidade de detectar sessões ativas do WhatsApp Web. Assim que o aplicativo é identificado, o malware envia automaticamente o mesmo arquivo malicioso para todos os contatos e grupos da conta infectada, acelerando a propagação.
Essa atividade intensa frequentemente leva ao bloqueio ou banimento da conta por violação dos termos de uso da plataforma.
- Chega de operar no escuro: conheça a ferramenta que automatiza seus investimentos — acesse agora e fale com nosso time no WhatsApp.
Golpe ainda não roubou dados, mas tem potencial de evolução
Até o momento, não há indícios de que o SORVEPOTEL esteja sendo usado para roubo de dados ou sequestro de arquivos (ransomware). O foco da campanha parece ser a disseminação rápida.
No entanto, campanhas anteriores que usaram técnicas semelhantes — como arquivos .LNK e scripts em PowerShell — tiveram como alvo dados financeiros, o que indica risco de evolução do ataque.
Como se proteger de golpes que usam o WhatsApp
Para reduzir o risco de infecção por um golpe como o SORVEPOTEL, especialistas recomendam seguir algumas medidas de segurança simples, mas eficazes:
- Desconfie de arquivos ZIP enviados por contatos, mesmo que sejam pessoas conhecidas ou empresas. Confirme a autenticidade da mensagem por outro canal antes de abrir.
- Evite clicar em links ou executar arquivos desconhecidos, principalmente se vierem acompanhados de mensagens genéricas como “confira o orçamento” ou “veja o comprovante”.
- Ative a verificação em duas etapas no WhatsApp, o que dificulta o acesso indevido à conta, mesmo que suas credenciais sejam comprometidas.
Por fim, sinais como mensagens fora do padrão, erros de português ou insistência para abrir anexos imediatamente devem acender um alerta. Ao adotar essas práticas preventivas, o usuário reduz significativamente o risco de cair em golpes e ajuda a interromper a cadeia de disseminação de ataques digitais.
