top of page

Trend Micro alerta para malware que se espalha automaticamento pelo Whatsapp e afeta usuários no Brasil

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 2 dias
  • 2 min de leitura

ree

Pesquisadores de segurança estão em alerta máximo após a descoberta de um novo e agressivo malware autopropagante que se dissemina rapidamente através do popular aplicativo de mensagens WhatsApp. Batizado de SORVEPOTEL pela Trend Micro, a campanha tem usuários brasileiros como principal alvo, transformando a confiança em contatos da plataforma em uma arma para infectar sistemas Windows.


Apesar de não focar inicialmente em roubo de dados ou ransomware, o ataque é "projetado para velocidade e propagação", segundo a análise da Trend Micro. A infecção começa com uma mensagem de phishing convincente, enviada por um contato já comprometido, contendo um anexo de arquivo ZIP malicioso. Pesquisadores como Jeffrey Francis Bonaobra e equipe notaram um detalhe peculiar: a mensagem pede que o destinatário abra o anexo em um desktop, o que sugere um foco maior dos hackers em atingir empresas em vez de consumidores comuns.


Uma vez que o destinatário é enganado e abre o arquivo ZIP, ele é levado a executar um arquivo de atalho do Windows (LNK) disfarçado. Este atalho, quando iniciado, aciona silenciosamente um script do PowerShell que se conecta a um servidor externo (como sorvetenopoate[.]com) para baixar a carga principal do malware. Há indícios de que os operadores por trás do SORVEPOTEL também usaram e-mails para distribuir os arquivos ZIP, aumentando o vetor de ataque.


O payload baixado é um script em lote que tem como objetivo garantir a persistência na máquina, copiando-se para a pasta de inicialização do Windows para ser executado automaticamente.


Ele também estabelece comunicação com um servidor de Comando e Controle (C2) para buscar mais instruções. No entanto, o elemento mais notável é o seu mecanismo de autopropagação via WhatsApp: se detectar que a versão desktop ou o WhatsApp Web está ativa, ele automaticamente distribui o arquivo ZIP malicioso para todos os contatos e grupos da vítima.


Essa disseminação automatizada resulta em um alto volume de spam, levando frequentemente a suspensões ou banimentos de contas devido a violações dos termos de serviço do WhatsApp. Das 477 infecções identificadas, a grande maioria (457) está concentrada no Brasil.


Os setores mais impactados incluem governo, serviço público, manufatura, tecnologia, educação e construção, reforçando a teoria de que os invasores estão visando ambientes corporativos. Até o momento, não há relatos de que os hackers tenham usado o acesso para roubar dados ou criptografar arquivos, focando a operação na capacidade de espalhamento.


Via - THN

 
 
 

Parceiros

Inicie SuaCarreira em Cibersegurança de Elite.png
bottom of page