O Brasil se tornou o epicentro de uma nova e veloz campanha de malware de auto-propagação denominada SORVEPOTEL. Pesquisadores da empresa de cibersegurança Trend Micro alertaram sobre o ataque, que usa o popular aplicativo WhatsApp como seu principal vetor de disseminação, mirando majoritariamente sistemas Windows em ambientes corporativos e governamentais.
Com uma taxa de infecção concentrada de forma alarmante no país, o objetivo inicial do SORVEPOTEL é a propagação rápida em vez de roubo de dados, embora a Trend Micro observe que campanhas brasileiras anteriores com táticas semelhantes focaram em credenciais financeiras.
Como o Ataque SORVEPOTEL Acontece
Continua após a publicidade
O sucesso desta campanha reside na combinação de engenharia social eficaz com a automatização do processo de infecção:
-
Vetor Inicial (Phishing de Confiança): A infecção geralmente começa quando a vítima recebe uma mensagem de phishing no WhatsApp. A característica mais perigosa é que esta mensagem vem de um contato comprometido (um amigo, colega ou familiar), fazendo com que ela pareça completamente legítima e derrubando as defesas iniciais do usuário.
-
O Anexo Malicioso: A mensagem traz um anexo no formato ZIP, disfarçado como um documento inofensivo e de natureza comercial ou pessoal. Nomes comuns de arquivos incluem "RES-20250930_112057.zip", "ORCAMENTO_114418.zip" (Orçamento) ou arquivos que simulam comprovantes, orçamentos ou documentos de aplicativos de saúde.
Continua após a publicidade
-
Execução no Desktop: Ao ser aberto em um sistema Windows, o arquivo ZIP revela um atalho malicioso (.LNK) que, ao ser clicado, executa silenciosamente um script do PowerShell. Este script então se conecta a um servidor de comando e controle (C2) externo para baixar e executar o payload principal do malware.
-
Propagação Automática via WhatsApp Web: Uma vez instalado, o SORVEPOTEL insere um script batch na pasta de Inicialização do Windows, garantindo sua persistência mesmo após reinicializações do sistema. Se o malware detectar que a vítima está usando a versão Desktop do WhatsApp ou o WhatsApp Web, ele automaticamente reenvia o arquivo ZIP malicioso para todos os contatos e grupos da conta, perpetuando o ciclo de infecção.
Continua após a publicidade
Os Alvos e o Impacto
A Trend Micro confirmou que a telemétria da pesquisa aponta para um foco em organizações, em vez de usuários individuais, com 457 dos 477 casos detectados concentrados no Brasil.
-
Setores mais afetados: O malware tem impactado principalmente organizações governamentais e de serviços públicos.
Continua após a publicidade -
Outros alvos: Empresas dos setores de manufatura, tecnologia, educação e construção também foram vítimas.
Além da proliferação em si, uma das consequências diretas da rápida auto-propagação é a suspensão das contas das vítimas por spam em massa, já que o WhatsApp proíbe disparos automáticos de mensagens.
Vetor Adicional: Phishing por E-mail
Embora o WhatsApp seja o principal meio de propagação, o e-mail também foi observado como um vetor inicial de infecção. Pesquisadores identificaram diversos e-mails de phishing distribuindo anexos ZIP com nomes como “COMPROVANTE_20251001_094031.zip” ou “ComprovanteSantander-75319981.682657420.zip”, usando assuntos como “Documento de Rafael B” ou “Extrato” para induzir as vítimas a abrir os arquivos.
Recomendações de Segurança
Para proteger-se e evitar a propagação do SORVEPOTEL e outras ameaças semelhantes, as empresas e usuários devem adotar medidas rigorosas:
-
Desconfie de Arquivos ZIP: Evite abrir arquivos ZIP (compactados), especialmente de remetentes desconhecidos ou que contenham atalhos (.LNK) após a extração. Se o arquivo for de um contato conhecido, confirme o envio por outro canal (ligação, SMS).
-
Desative Downloads Automáticos: Altere as configurações do WhatsApp para desativar o download automático de mídias e documentos.
-
Reforço de Segurança em Endpoints: Mantenha sistemas operacionais (Windows) e antivírus sempre atualizados para detectar e bloquear comportamentos anômalos, como a execução de scripts PowerShell.
-
Awareness e Treinamento: Implemente e reforce o treinamento de conscientização sobre phishing para todos os funcionários, destacando o perigo de mensagens que parecem vir de colegas.
-
Controles Corporativos: Em ambientes de trabalho, implemente políticas de segurança mais rígidas para limitar a transferência de arquivos e a execução de scripts não assinados.
O ataque SORVEPOTEL é um lembrete crítico de como a confiança social em aplicativos de mensagens pode ser facilmente explorada para comprometer a segurança de dados corporativos e governamentais. A vigilância e a educação dos usuários são a primeira linha de defesa.
