Brasil enfrenta vírus que se espalha automaticamente pelo WhatsApp

Novo malware no WhatsApp propaga-se rápido no Brasil; evite abrir arquivos ZIP suspeitos e proteja seus dados.
Atualizado há 3 horas
Brasil enfrenta vírus que se espalha automaticamente pelo WhatsApp
(Imagem/Reprodução: Tecmundo)
Resumo da notícia
    • Uma campanha de malware chamada SORVEPOTEL atinge principalmente usuários brasileiros pelo WhatsApp.
    • Você pode ser afetado por mensagens falsas com anexos ZIP que ativam a contaminação ao serem abertos em computadores.
    • O malware se propaga automaticamente pelo WhatsApp Web, gerando grande volume de spam e suspensão de contas.
    • Organizações públicas e privadas foram impactadas, reforçando a importância de medidas de segurança digital.
CONTINUA DEPOIS DA PUBLICIDADE

Uma nova campanha de Malware no WhatsApp está causando preocupação, tendo o Brasil como principal alvo. Batizado de SORVEPOTEL, este ataque se espalha de forma automática e veloz, focando na plataforma para atingir usuários. Criminosos enviam mensagens falsas com arquivos ZIP que, quando abertos em computadores, ativam a contaminação.

👉
Acompanhe as noticias no seu WhatsAp! entre no nosso grupo
Entre agora

De acordo com investigações da Trend Micro, já foram detectados 477 casos globais, sendo 457 deles no Brasil. Essa alta concentração no país destaca o foco da campanha. O SORVEPOTEL foi projetado para se propagar rapidamente, explorando a confiança entre os contatos dos usuários.

A ameaça não poupou setores importantes. A Trend Micro afirma que o SORVEPOTEL afetou diretamente organizações governamentais e de serviços públicos. Empresas privadas também foram impactadas, evidenciando a abrangência e a mira da campanha. Esse cenário reforça a estratégia dos atacantes de focar no WhatsApp Web, visando a obtenção de dados e a disseminação em larga escala.

CONTINUA DEPOIS DA PUBLICIDADE

O ataque começa de um jeito bem conhecido: o usuário recebe uma mensagem de phishing no WhatsApp. O remetente é um amigo ou colega, alguém que já foi vítima do golpe. Isso faz a mensagem parecer muito mais confiável. Anexado à mensagem, há um arquivo ZIP com nomes que tentam enganar, como “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”.

Esses nomes simulam comprovantes de pagamento, orçamentos ou até mesmo marcações de aplicativos de saúde. A mensagem pede para a vítima baixar o ZIP no computador e abri-lo, explorando a confiança em conversas pessoais. Ao abrir em um desktop, especialmente em máquinas com Windows, o malware se espalha automaticamente via WhatsApp Web.

Leia também:

A replicação continua até que as contas das vítimas sejam banidas por excesso de spam. Além do WhatsApp, a Trend Micro também levanta a hipótese de que o e-mail possa ser uma porta de entrada inicial para a infecção. Vários e-mails de phishing foram observados distribuindo anexos ZIP com nomes igualmente enganosos, como “COMPROVANTE_20251001_094031.zip”.

Os endereços de e-mail parecem legítimos e os assuntos são sugestivos, como “Documento de Rafael B” ou “Extrato”. O objetivo é convencer os destinatários a abrir os anexos maliciosos, expandindo ainda mais o alcance do golpe. Essa dupla abordagem, via WhatsApp e e-mail, aumenta a chance de sucesso dos criminosos.

Como o SORVEPOTEL Atua Após a Invasão

Ao abrir o arquivo ZIP, a vítima encontra um atalho do Windows, um arquivo .LNK. Clicar nele dispara silenciosamente um comando, seja via linha de comando ou PowerShell. Esse processo invisível faz o download do malware principal de domínios controlados pelos cibercriminosos, o que ajuda a ameaça a passar despercebida por alguns antivírus.

CONTINUA DEPOIS DA PUBLICIDADE

Foram identificadas atividades em domínios como sorvetenopoate[.]com e etenopote[.]com, usados para entregar a carga maliciosa. Depois de decodificado, o comando baixa um script de uma URL e o executa diretamente na memória do computador, usando a função Invoke-Expression (IEX). Ele opera em modo oculto para que o usuário não perceba sua presença.

O script também utiliza comandos codificados para ofuscar suas ações, dificultando a detecção. O arquivo baixado é, geralmente, um script em lote que garante a persistência do malware. Ele se copia para a pasta de Inicialização do Windows, assegurando que o programa malicioso seja reativado toda vez que o computador for ligado.

Este arquivo .BAT constrói um comando PowerShell usando loops “for” e executa tudo em uma janela oculta, com parâmetros de camuflagem. Após ser decodificado, o PowerShell gera uma URL para o servidor de comando e controle (C&C), baixa conteúdo via Net.WebClient e o executa na memória usando Invoke-Expression.

O malware se comunica com múltiplos servidores C&C para receber instruções e baixar módulos adicionais. Um ponto crucial é sua capacidade de detectar sessões ativas do WhatsApp Web. Ao encontrar uma, ele usa essa sessão para enviar automaticamente o mesmo arquivo ZIP malicioso para todos os contatos e grupos da conta comprometida, acelerando sua propagação.

O resultado é um grande volume de spam e, frequentemente, a suspensão das contas por violar os termos de uso do WhatsApp. O comportamento principal após a infecção inicial é a autorreplicação, ou seja, espalhar-se o máximo possível. Não há indícios claros de roubo de dados ou de ataque de ransomware, pelo menos até agora, embora campanhas anteriores no Brasil com mecanismos semelhantes já tenham visado informações financeiras.

Para se manter discreto, o malware utiliza domínios de typosquatting, que são nomes parecidos com palavras legítimas, como “sorvetenopotel”, que lembra “sorvete no pote”. Isso mistura o tráfego malicioso com o tráfego normal, dificultando a identificação. A Trend Micro também identificou possíveis vínculos com outras infraestruturas.

Um exemplo é cliente[.]rte[.]com[.]br, que foi usado dias antes da escalada da campanha. Isso sugere que os operadores estão sempre diversificando e atualizando seus métodos para aumentar o alcance dos ataques e manter a furtividade. A constante evolução dessas ameaças exige atenção redobrada dos usuários e empresas.

Medidas Essenciais para Prevenir o Ataque

Para se proteger contra o SORVEPOTEL e outros golpes semelhantes, é fundamental adotar algumas precauções básicas. Uma das primeiras ações é desativar os downloads automáticos no WhatsApp. Isso impede que arquivos maliciosos sejam baixados para o seu aparelho sem sua permissão, diminuindo a chance de uma infecção inicial.

Outra medida importante, especialmente para quem usa dispositivos no ambiente de trabalho, é bloquear a transferência de arquivos em aplicativos pessoais em aparelhos corporativos. Isso cria uma barreira entre o uso pessoal e profissional, protegendo os sistemas da empresa. Empresas precisam investir em cibersegurança e políticas de uso.

A conscientização dos funcionários é vital. É preciso treiná-los para evitar abrir anexos suspeitos, mesmo que pareçam vir de contatos conhecidos. A engenharia social é uma tática comum, e a desconfiança é a melhor defesa. Sempre verifique a legitimidade antes de clicar em qualquer coisa que pareça fora do comum.

Por fim, utilize sempre canais oficiais e seguros para trocar documentos de trabalho. Evite o uso de aplicativos de mensagens pessoais para o compartilhamento de arquivos importantes. Essa prática minimiza riscos e assegura que suas informações transitem por vias protegidas.

Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.

redes sociaisSegurançaWhatsApp
André atua como jornalista de tecnologia desde 2009 quando fundou o Tekimobile. Também trabalhou na implantação do portal Tudocelular.com no Brasil e já escreveu para outros portais como AndroidPIT e Techtudo. É formado em eletrônica e automação, trabalhando com tecnologia há 26 anos.

Relacionados

Netflix One Piece live-action
Netflix perde co-showrunner de One Piece em ação ao vivo
Entretenimento
Sequência do filme
Amanda Seyfried critica marketing de ‘Jennifer’s Body’
Entretenimento
Estreia no CPH:DOX
‘Nós Vivemos Aqui’ Revela Paradoxo em Antiga Área Nuclear
Entretenimento
Críticas de Snow White
O que os críticos estão dizendo sobre ‘Branca de Neve’
Entretenimento
Filme com Milly Bobby Brown
Estreia de ‘The Electric State’ no Netflix não impressiona
Entretenimento
Chef Guy Fieri
DC traz celebridade para os quadrinhos em uma viagem ao sabor
Entretenimento
Logo do portal Noticia Agora
@2025 Tekimobile
Por Naweb Marketing