Uma nova campanha de ciberataques está se espalhando pelo Brasil por meio do WhatsApp, explorando a confiança entre contatos para se propagar rapidamente. A Trend Research, divisão da Trend Micro, identificou a operação como Water Saci, um malware autônomo que utiliza a plataforma de mensagens como principal vetor de infecção.
Segundo a empresa, o código malicioso – batizado de SORVEPOTEL – circula entre usuários de sistemas Windows e tem como foco inicial contas brasileiras. Dos 477 casos detectados até o momento, 457 ocorreram no país.
O Startups tentou contato com a Meta, dona do WhatsApp, sobre a campanha de malware, mas não obteve resposta até o momento. A matéria será atualizada caso a empresa se pronuncie.
Arquivos disfarçados
A infecção começa quando o usuário recebe, via WhatsApp, um arquivo ZIP supostamente enviado por um contato conhecido. As mensagens, escritas em português, usam nomes como “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”, simulando documentos de rotina, como orçamentos, comprovantes ou notas fiscais.
Ao extrair o arquivo, o usuário encontra um atalho (.LNK) que, ao ser executado, aciona um script PowerShell capaz de baixar e rodar o malware diretamente na memória do computador. O código então se conecta a servidores de comando e controle (C&C), garantindo persistência no sistema e comunicação contínua com a infraestrutura dos criminosos.
Uma vez instalado, o malware verifica se o WhatsApp Web está ativo no computador. Se estiver, usa a sessão para enviar cópias do mesmo arquivo malicioso a todos os contatos e grupos, sem qualquer ação do usuário.
Esse comportamento transforma cada vítima em um novo ponto de disseminação, o que explica a velocidade da propagação. Em muitos casos, o alto volume de mensagens automáticas leva o WhatsApp a bloquear as contas comprometidas por violação dos termos de uso.
Além do aplicativo, a Trend também identificou envios por e-mail, com anexos semelhantes e remetentes aparentemente legítimos, usando assuntos como “Documento de Rafael B” ou “Comprovante Santander” – reforçando o caráter de engenharia social da campanha.
Foco em empresas e órgãos públicos
Embora o ataque também afete usuários individuais, a análise da Trend indica que os principais alvos estão no setor corporativo e público. O malware já foi detectado em máquinas de órgãos governamentais, empresas de tecnologia, educação, manufatura e construção.
O fato de os arquivos exigirem abertura em um computador, e não no celular, reforça a hipótese de que os criminosos estejam mirando ambientes empresariais, onde o WhatsApp Web é frequentemente usado para comunicação de trabalho.
Para enganar vítimas e evitar detecção, os operadores usam domínios semelhantes a expressões brasileiras, como “sorvetenopotel.com”, variação de “sorvete no pote”. Essa técnica de typosquatting ajuda os sites maliciosos a parecerem inofensivos e passarem despercebidos por filtros de segurança.
Embora ainda não haja indícios de roubo de dados ou sequestro de arquivos, especialistas alertam que o comportamento autônomo e persistente do SORVEPOTEL representa um risco elevado, por abrir caminho para variantes mais destrutivas.
Como se proteger
A Trend Micro recomenda algumas medidas de prevenção para empresas e usuários:
- Desativar o download automático de arquivos no WhatsApp, especialmente em dispositivos corporativos;
- Restringir o uso de aplicativos pessoais, como WhatsApp e Telegram, em computadores de trabalho;
- Promover treinamentos regulares de segurança para conscientizar equipes sobre o risco de abrir anexos inesperados, mesmo quando enviados por contatos conhecidos.
Segundo a Trend Research, a campanha Water Saci evidencia como a confiança entre contatos e o uso combinado de ferramentas pessoais e corporativas criam pontos críticos de vulnerabilidade nas empresas. Esse risco é ainda maior em ambientes que adotam a política de “traga seu próprio dispositivo” (BYOD). “Se a sua organização oferece suporte ao BYOD, aplique uma lista de permissões rigorosa de aplicativos ou conteinerização para proteger ambientes sensíveis”, alerta a Trend.
O post Malware se espalha no WhatsApp e mira empresas no Brasil apareceu primeiro em Startups.
