Pesquisadores de segurança vêm alertando sobre uma nova geração de ataques cibernéticos que tem o WhatsApp como principal meio de propagação e que, possivelmente, recorreram à inteligência artificial para ganhar sofisticação. A empresa de cibersegurança Trend Micro publicou uma análise indicando fortes indícios de uso de IA na atualização de um malware focado em usuários no Brasil, capaz de driblar antivírus e capturar senhas bancárias. As informações foram divulgadas pelo G1.
A ameaça corresponde a uma versão evoluída de um vírus identificado como Sorvepotel, detectado pela primeira vez em outubro. Como na campanha anterior, o malware se espalha via WhatsApp Web, assume o controle da conta da vítima e encaminha automaticamente o arquivo malicioso aos contatos, ampliando o alcance do golpe. A variante mais recente, porém, traz alterações importantes na arquitetura técnica e na capacidade de escapar de mecanismos de detecção.
Indícios de uso de IA no ataque ao WhatsApp
Segundo a Trend Micro, a grande mudança foi a reescrita do malware em Python, em vez da linguagem empregada na versão anterior. Os pesquisadores apontam “fortes indícios circunstanciais” de que ferramentas automatizadas — como grandes modelos de linguagem (LLMs) ou sistemas de tradução de código — podem ter sido utilizadas para acelerar essa adaptação.
Entre os elementos que sustentam essa hipótese estão o código mais organizado e maduro, o uso atípico de emojis durante o desenvolvimento e a rapidez com que a nova edição surgiu, mantendo alta similaridade funcional com a anterior. Além disso, a amostra atual é compatível com mais navegadores e consegue enviar mensagens com maior velocidade.
Na prática, os atacantes recorrem ao WhatsApp para enviar mensagens que imitam situações corriqueiras, como comprovantes de pagamento ou orçamentos empresariais. O conteúdo frequentemente induz o destinatário a abrir o arquivo no computador, com instruções do tipo “tenta abrir no computador”. Ao seguir esse comando, o usuário executa o código malicioso e inicia a infecção.
Como o Sorvepotel infecta o computador
Conforme a Trend Micro, o golpe não explora vulnerabilidades diretas do WhatsApp, mas se beneficia da confiança do usuário e da integração com o WhatsApp Web. Uma vez ativado, o malware transforma o computador em um “zumbi”, que passa a receber comandos remotos dos criminosos.
O procedimento do ataque segue um roteiro já identificado pelos analistas:
- Envio de arquivos disfarçados de documentos legítimos, frequentemente em ZIP, PDF ou HTA.
- Execução do arquivo pela vítima, estabelecendo ligação com a infraestrutura de controle dos criminosos.
- Download compulsório de um instalador que instala o malware bancário no equipamento.
- Coleta de dados do computador, como idioma do sistema, presença de antivírus e indícios de uso de serviços bancários.
- Envio de comandos para gerar páginas bancárias falsas, registrar senhas digitadas e capturar telas.
O software malicioso também vasculha pastas e o histórico de navegação em busca de nomes e acessos vinculados a instituições financeiras. A Trend Micro observa que isso se relaciona a uma característica do Brasil: a ampla adoção de módulos de segurança exigidos pelos bancos, o que facilita a identificação de qual instituição é mais utilizada pela vítima.
Além do risco de roubo de credenciais bancárias, existe a possibilidade de a conta do WhatsApp ser usada para disparo em massa de mensagens, cenário que pode levar a detecções por spam e ao consequente bloqueio ou banimento da conta do usuário.
Os pesquisadores ressaltam que, apesar de o alvo parecer ser computadores corporativos, muitos incidentes ocorrem quando funcionários acessam contas pessoais do WhatsApp Web em máquinas de trabalho. Por isso, a Trend Micro recomenda medidas preventivas para usuários e organizações: desativar downloads automáticos no WhatsApp, limitar downloads em computadores corporativos, promover treinamentos de conscientização e sempre confirmar por outros meios a veracidade de arquivos recebidos.
O caso ilustra como o WhatsApp, mesmo sem apresentar falhas diretas nesse contexto, tem sido aproveitado como elo central na cadeia de ataques, e como a eventual adoção de IA por criminosos tende a tornar golpes digitais mais rápidos, persuasivos e difíceis de identificar.
