Um novo tipo de malware está se disseminando por mensagens no WhatsApp, monitorando em tempo real as atividades das vítimas em sites de instituições bancárias.
O WhatsApp tornou-se alvo de criminosos por meio de uma campanha autopropagante no Brasil, batizada de “Water Saci”. A ação utiliza o malware SORVEPOTEL, recentemente identificado, que se espalha em sistemas Windows por mensagens de phishing com anexos ZIP maliciosos, segundo relatório da Trend Micro. O foco principal são instituições financeiras e corretoras de criptomoedas, como Banco do Brasil, Caixa, Itaú e Bradesco.
Ao contrário de ataques convencionais voltados a roubo ou ransomware, essa campanha foi concebida para se propagar rapidamente, explorando a confiança social e mecanismos automatizados. Segundo a pesquisa, a mensagem com o anexo requer que os usuários abram o arquivo em um computador, o que indica que os criminosos podem estar mais interessados em atingir empresas do que indivíduos.
Como funciona?
- A infecção começa com uma mensagem de phishing enviada de uma conta do WhatsApp comprometida — geralmente de um amigo ou colega — contendo um arquivo ZIP disfarçado de documento legítimo, como “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”.
- Ao ser aberto, o arquivo ativa um atalho malicioso do Windows (.LNK) que executa um script em PowerShell, baixando e executando payloads adicionais de domínios controlados pelo invasor, como sorvetenopotel[.]com e expahnsiveuser[.]com.
- Uma vez implantado, o malware aciona módulos como Maverick.StageTwo e Maverick.Agent, projetados para roubar credenciais financeiras e monitorar a atividade do usuário.
- O malware cria janelas de sobreposição sobre sites bancários legítimos, exibindo formulários falsos para senhas, assinaturas eletrônicas ou códigos QR, enquanto captura informações confidenciais.
- Os criminosos monitoram a atividade do usuário para identificar visitas a sites bancários brasileiros específicos, usando correspondência de domínio e análise do conteúdo HTM.
- O SORVEPOTEL pode sequestrar sessões ativas do WhatsApp Web em dispositivos infectados, distribuindo automaticamente o mesmo arquivo ZIP para todos os contatos e grupos associados à conta comprometida.
Campanha direcionada
Segundo a telemetria da Trend Research, a atividade inicial indica foco regional no Brasil: 457 dos 477 casos detectados até o momento. A campanha afetou principalmente organizações governamentais e de serviços públicos, mas também atingiu setores como manufatura, tecnologia, educação e construção.
Para evitar detecção e manter persistência, o malware utiliza domínios ofuscados e com erros de digitação, como “sorvetenopotel”, que se assemelha a uma expressão inofensiva em português. Essa tática ajuda a infraestrutura maliciosa a se camuflar no tráfego legítimo.
Para reduzir os riscos associados à campanha, a Trend recomenda medidas práticas de defesa:
- Desative os downloads automáticos no WhatsApp nas configurações do aplicativo para evitar exposição acidental a arquivos nocivos.
- Adote políticas de segurança de endpoint ou regras de firewall para bloquear ou restringir transferências de arquivos por meio de aplicativos pessoais, como WhatsApp, Telegram ou WeTransfer, em dispositivos corporativos.
- Ofereça treinamentos regulares de segurança aos funcionários para ajudá‑los a reconhecer os riscos de baixar arquivos por plataformas de mensagens, incentivando o uso de canais seguros e aprovados para transferência de documentos.
