Trend Micro alerta para malware que se espalha automaticamento pelo Whatsapp e afeta usuários no Brasil
- Cyber Security Brazil
- há 2 dias
- 2 min de leitura

Pesquisadores de segurança estão em alerta máximo após a descoberta de um novo e agressivo malware autopropagante que se dissemina rapidamente através do popular aplicativo de mensagens WhatsApp. Batizado de SORVEPOTEL pela Trend Micro, a campanha tem usuários brasileiros como principal alvo, transformando a confiança em contatos da plataforma em uma arma para infectar sistemas Windows.
Apesar de não focar inicialmente em roubo de dados ou ransomware, o ataque é "projetado para velocidade e propagação", segundo a análise da Trend Micro. A infecção começa com uma mensagem de phishing convincente, enviada por um contato já comprometido, contendo um anexo de arquivo ZIP malicioso. Pesquisadores como Jeffrey Francis Bonaobra e equipe notaram um detalhe peculiar: a mensagem pede que o destinatário abra o anexo em um desktop, o que sugere um foco maior dos hackers em atingir empresas em vez de consumidores comuns.
Uma vez que o destinatário é enganado e abre o arquivo ZIP, ele é levado a executar um arquivo de atalho do Windows (LNK) disfarçado. Este atalho, quando iniciado, aciona silenciosamente um script do PowerShell que se conecta a um servidor externo (como sorvetenopoate[.]com) para baixar a carga principal do malware. Há indícios de que os operadores por trás do SORVEPOTEL também usaram e-mails para distribuir os arquivos ZIP, aumentando o vetor de ataque.
O payload baixado é um script em lote que tem como objetivo garantir a persistência na máquina, copiando-se para a pasta de inicialização do Windows para ser executado automaticamente.
Ele também estabelece comunicação com um servidor de Comando e Controle (C2) para buscar mais instruções. No entanto, o elemento mais notável é o seu mecanismo de autopropagação via WhatsApp: se detectar que a versão desktop ou o WhatsApp Web está ativa, ele automaticamente distribui o arquivo ZIP malicioso para todos os contatos e grupos da vítima.
Essa disseminação automatizada resulta em um alto volume de spam, levando frequentemente a suspensões ou banimentos de contas devido a violações dos termos de serviço do WhatsApp. Das 477 infecções identificadas, a grande maioria (457) está concentrada no Brasil.
Os setores mais impactados incluem governo, serviço público, manufatura, tecnologia, educação e construção, reforçando a teoria de que os invasores estão visando ambientes corporativos. Até o momento, não há relatos de que os hackers tenham usado o acesso para roubar dados ou criptografar arquivos, focando a operação na capacidade de espalhamento.
Via - THN