Uma nova campanha de malware batizada de SORVEPOTEL está se alastrando pelo Brasil por meio do WhatsApp, utilizando uma estratégia de autorreplicação automática que, segundo especialistas, tem como objetivo escalar rapidamente o alcance do ataque em vez de simplesmente roubar dados. Até o momento, a empresa de cibersegurança Trend Micro identificou 477 casos, dos quais 457 têm origem no Brasil.
Como funciona o ataque
O golpe começa com uma mensagem de phishing enviada via WhatsApp, aparentemente enviada por um contato conhecido — uma vez que esse contato já foi infectado — o que aumenta a credibilidade da mensagem. O anexo vem em formato ZIP malicioso com nomes que simulam documentos ou comprovantes (“RES-20250930_112057.zip”, “ORCAMENTO_114418.zip”, entre outros).
Dentro do ZIP, há um atalho (.LNK) que, ao ser clicado, dispara silenciosamente um script (via PowerShell ou linha de comando) que conecta a servidores controlados pelos invasores e baixa a carga maliciosa principal.
Esse malware se torna persistente — copia arquivos para a pasta de inicialização (Startup) e se reativa a cada reinício do sistema. Em seu funcionamento oculto, ele identifica sessões ativas do WhatsApp Web e utiliza essas sessões para disparar automaticamente o mesmo arquivo ZIP aos contatos e grupos da vítima.
O volume de mensagens gerado costuma resultar em suspensão ou banimento da conta WhatsApp por spam, conforme relatado por especialistas.
Até o momento, não há confirmações de que o malware esteja exfiltrando dados ou criptografando arquivos em larga escala — seu principal vetor é a propagação rápida.
Alvos e implicações
Embora o SORVEPOTEL esteja focado no Brasil, o ataque demonstra um padrão sofisticado de automação e engenharia social. Entre as vítimas identificadas estão órgãos públicos, empresas particulares, instituições de ensino e prestadores de serviço, de acordo com análise da Trend Micro.
Uma característica marcante é que o vírus exige que o usuário execute o arquivo em um computador desktop (Windows) — o que indica que os criminosos podem estar mirando ambientes corporativos e domésticos com computadores conectados ao WhatsApp Web.
Também há indícios de uso de e-mail como vetor auxiliar, com anexos ZIP que imitam comprovantes, planilhas ou documentos financeiros vindos de remetentes falsos, aumentando a probabilidade de que usuários abram o arquivo.
Como se proteger: boas práticas
Especialistas recomendam atenção e adoção das seguintes precauções:
- Desative o download automático de arquivos no WhatsApp (imagens, áudios, documentos).
- Evite abrir anexos ZIP recebidos via WhatsApp, mesmo que venham de contatos conhecidos.
- Use antivírus atualizado e software de proteção contra comportamentos suspeitos.
- Ao notar algo estranho — mensagens automáticas enviadas de sua conta, contatos reclamando — desconecte imediatamente o WhatsApp Web (ou logout de sessões ativas).
- Em ambientes corporativos, restrinja ou bloqueie transferências de arquivos por apps pessoais e use políticas de controle de endpoint.
- Realize treinamentos de conscientização de segurança para evitar que colaboradores abram anexos suspeitos.
