Uma campanha de malware que se espalhou pelo WhatsApp atingiu empresas no Brasil. Segundo a Trend Micro, cibercriminosos usaram o malware recém-identificado SORVEPOTEL para infectar sistemas Windows. Entre os alvos estavam instituições financeiras e corretoras de criptomoedas, como Banco do Brasil, Caixa, Itaú e Bradesco.
O ataque começava com mensagens de phishing enviadas a partir de contas de WhatsApp já comprometidas — muitas vezes de contatos pessoais ou colegas — contendo arquivos ZIP com nomes que pareciam documentos legítimos. Ao descompactar, havia um atalho do Windows (.LNK) que executava silenciosamente um script PowerShell. Esse script baixava e rodava cargas adicionais a partir de domínios controlados pelos invasores, incluindo sorvetenopotel[.]com e expahnsiveuser[.]com.
“Curiosamente, a mensagem que contém o anexo malicioso exige que os usuários a abram em um desktop, sugerindo que os agentes da ameaça podem estar mais interessados em atingir empresas do que consumidores.” — Trend Micro
Uma vez ativo, o malware acionava módulos identificados como Maverick.StageTwo e Maverick.Agent, criados para capturar credenciais financeiras e monitorar a atividade do usuário. Esses componentes exibiam janelas de sobreposição sobre sites bancários legítimos para coletar senhas, tokens de autenticação, assinaturas eletrônicas ou códigos QR, além de checar domínios e analisar conteúdo HTM para identificar visitas a páginas de bancos brasileiros.
O SORVEPOTEL também era capaz de sequestrar sessões ativas do WhatsApp Web na máquina infectada. Quando detectava uma sessão válida, usava essa conexão para reenviar automaticamente o mesmo arquivo ZIP a todos os contatos e grupos da conta comprometida, acelerando a propagação da campanha.
Na telemetria apresentada no relatório, a atividade estava concentrada no Brasil: 457 dos 477 incidentes detectados ocorreram no país. A campanha atingiu principalmente organizações governamentais e de serviços públicos, mas também houve impactos em setores como manufatura, tecnologia, educação e construção.
Os invasores adotaram estratégias para evitar detecção e manter persistência, usando domínios ofuscados e com erros de digitação — por exemplo, sorvetenopotel, uma referência a ‘sorvete no pote’ — para camuflar a infraestrutura maliciosa entre o tráfego legítimo.
Como se proteger?
- Desative o download automático de arquivos no WhatsApp nas configurações do aplicativo.
- Aplique políticas de segurança de endpoint ou regras de firewall para bloquear ou restringir transferências de arquivos por aplicativos pessoais (WhatsApp, Telegram, WeTransfer) em dispositivos gerenciados pela empresa.
- Promova treinamentos regulares para que funcionários reconheçam os riscos ao baixar arquivos por plataformas de mensagens e usem canais aprovados para troca de documentos corporativos.
A Trend Micro registrou o caso e informou que a investigação continua. A recomendação é manter vigilância constante por parte de organizações e equipes de segurança para reduzir riscos semelhantes no futuro.
