Novo malware que se espalha no WhatsApp Web mira vítimas brasileiras

SÃO PAULO, SP (FOLHAPRESS) - Pesquisadores da empresa de cibersegurança Trend Micro identificaram uma estratégia -apelidada "Water Saci"- que usa um malware chamado "Sorvepotel" para infectar Windows com arquivos comprimidos (zip), aproveitando quem está usando o WhatsApp Web para se espalhar indevidamente. 

• Brasil é o 2º país mais atacado por malware em 2025, revela relatório
• Relembre: operação policial internacional neutraliza malware

Segundo a Trend Micro, 457 dos 477 incidentes detectados ocorreram no Brasil -e entre as vítimas há órgãos públicos, serviços e empresas de setores como manufatura, tecnologia, educação e construção. 

A Meta diz que está trabalhando para tornar o WhatsApp um lugar mais seguro, e que possui camadas de proteção "que oferecem mais contexto sobre com quem você está conversando ao receber uma mensagem de alguém que você não conhece - além de proteger suas conversas pessoais com a criptografia de ponta a ponta". 

Algumas variações da fraude mudam o nome do arquivo para "comprovante", para que a pessoa se sinta inclinada a abrir. A mensagem diz que a visualização do documento é permitida somente em computadores, e até oferece instruções para abrir no Google Chrome. 

Dentro do arquivo zipado, no entanto, é aberto um atalho de Windows (arquivo .LNK) que, ao ser executado, aciona um script do PowerShell -uma ferramenta legítima do sistema operacional- que baixa e executa o código malicioso. 

Depois de se instalar, o Sorvepotel começa a monitorar a navegação do usuário. Ele verifica as páginas que estão sendo acessadas e busca sinais de que a pessoa está entrando em sites de bancos ou de corretoras. Caso encontre algum desses endereços, o programa ativa mecanismos capazes de roubar credenciais e outros dados sensíveis. 

Procurada, a Febraban (Federação Brasileira de Bancos) diz que o sistema bancário possui "robustas estruturas de monitoramento de seus sistemas e utiliza o que há de mais moderno em termos de tecnologia e segurança da informação", como mensageria criptografada, autenticação biométrica e tokenização, além de tecnologias como big data, analytics e inteligência artificial em processos de prevenção de riscos. 

O malware ainda verifica se há uma sessão ativa do WhatsApp Web no computador infectado. Quando encontra a conexão, o vírus usa um software de automação chamado Selenium, junto com o Chromedriver, para controlar o navegador. 

• Relembre: 'bomba-relógio': código malicioso ligado à China preocupa os EUA

É como se o invasor tomasse o teclado do usuário por alguns segundos: o sistema começa a abrir as conversas e enviar o mesmo arquivo ZIP para todos os contatos e grupos da vítima. 

Os pesquisadores explicam que o Sorvepotel é um arquivo DLL escrito em .NET, que injeta em memória um código que executa as principais funções do malware, o que significa que boa parte do ataque ocorre sem deixar rastros no disco rígido, dificultando a detecção por antivírus tradicionais. 

Também há indícios de que o malware tente se manter ativo mesmo após reinicializações do sistema, e que ele encerra sua execução quando percebe que está rodando em um ambiente de análise, para evitar ser estudado por especialistas. 

Siga nosso canal no WhatsApp e receba notícias relevantes para o seu dia

A Trend Micro afirma que o código do vírus parece ter sido projetado para atingir especificamente usuários brasileiros: ele checa o idioma e o fuso horário do computador e só executa certas funções se detectar que está em território nacional. 

* 

VEJA COMO SE PROTEGER

 A empresa recomenda as seguintes medidas de precaução: 

• Desative downloads automáticos no WhatsApp para evitar abertura acidental de arquivos maliciosos; 
  
• Restrinja transferências de arquivos em aplicativos pessoais nos dispositivos corporativos; 
  
• Fique atento a mensagens suspeitas, principalmente aquelas que solicitam permissões em navegadores ou orientam ações fora do comum; 
  
• Garanta que seu antivírus esteja sempre atualizado, tanto no celular quanto no computador; 
  
• Não abra anexos recebidos pelo WhatsApp de imediato. Antes, confirme com a pessoa se o envio foi intencional; 
  
• Pergunte se a pessoa realmente enviou o arquivo. Em muitos casos, o usuário não tem conhecimento de que sua conta foi invadida