Novo malware “SORVEPOTEL” se espalha pelo WhatsApp e já atinge empresas no Brasil

O que está acontecendo

Um novo tipo de malware, apelidado “SORVEPOTEL”, está sendo usado por criminosos para infectar sistemas Windows via WhatsApp, com foco em usuários e organizações no Brasil.
Ele se propaga de forma automática — uma vez executado no computador da vítima, envia cópias de si mesmo para todos os contatos do WhatsApp Web da pessoa, com pouco ou nenhum controle humano.

Como o ataque funciona

1. A vítima recebe uma mensagem no WhatsApp — geralmente de um contato comprometido — com um ficheiro ZIP em anexo que parece legítimo (por exemplo recibo, orçamento ou formulário).
2. Dentro do ZIP há um atalho (.LNK) para Windows que, ao ser executado, dispara um script PowerShell escondido.
3. O script baixa um segundo payload (normalmente um arquivo de lote) que instala persistência no sistema (por exemplo, copiando-se para a pasta de arranque).
4. Se o usuário tiver sessão ativa no WhatsApp Web, o malware aproveita isso para enviar a mesma mensagem infectada para todos os contactos e grupos, ampliando rapidamente a propagação.
5. Diferente de muitos malwares focados em roubo de dados ou extorsão, a prioridade do SORVEPOTEL parece ser propagação rápida e impacto operacional, mais do que criptografar ou sequestrar arquivos.

Quem está sendo afetado

• A maioria das infecções detectadas até agora ocorre no Brasil — dos ~477 casos conhecidos, cerca de 457 foram no Brasil.
• Os setores atingidos incluem governo, serviços públicos, manufatura, educação, tecnologia e construção.
• O fato de exigir interação em ambiente desktop (ex: abrir o ZIP e o atalho) sugere foco em ambientes corporativos, não apenas em telemóveis.

Por que esse ataque é preocupante

• Ele explora confiança: a mensagem parece vir de um contacto legítimo, o que leva à menor suspeita.
• A velocidade de propagação: em poucos minutos, uma unidade infectada pode gerar dezenas ou centenas de novas infecções.
• Uso de plataforma comum de comunicação (WhatsApp) que muitas empresas utilizam, aumentando risco de contaminação cruzada entre dispositivos pessoais e corporativos.
• Pode causar banimento da conta WhatsApp, interrupção de comunicação interna ou externa e reputação danificada, mesmo se não houver roubo direto de dados.

O que fazer para se proteger

• Não abrir arquivos ZIP ou LNK recebidos por WhatsApp se vierem de contactos inesperados, ou mesmo de contactos conhecidos mas com mensagem fora do habitual.
• Garantir que os sistemas Windows corporativos e pessoais tenham antivírus/EDR atualizados e regras de prevenção de execução de scripts não autorizados.
• Restringir o uso de sessão WhatsApp Web em máquinas que contêm informações sensíveis ou acesso corporativo.
• Educar os colaboradores de empresas sobre o risco de malware via apps de mensagem e reforçar a política de “não clique se parecer estranho”.
• Monitorar comunicação via WhatsApp e outros canais de mensagem para identificar padrões invulgares (ex: múltiplas mensagens com anexos ZIP enviados por mesmos contactos, uso de grupos empresariais).

Cenário local e implicações para o Brasil

Dado o número elevado de casos no Brasil e o foco em setores públicos e privados, o SORVEPOTEL representa uma ameaça real à segurança das organizações brasileiras. Ele reforça a necessidade de se tratar o WhatsApp não apenas como ferramenta de conveniência, mas como possível vetor de ataque. Para o marketing digital, por exemplo, esse tipo de incidente pode afetar a continuidade operacional de agências e departamentos — ou comprometer a comunicação interna com clientes.

Conclusão

O malware SORVEPOTEL evidencia que as ameaças de cibersegurança estão cada vez mais adaptadas ao comportamento humano e às plataformas de comunicação cotidianas. A propagação rápida, por meio de confiança e automação, torna-o um desafio significativo. Organizações no Brasil devem agir com rapidez para reforçar suas defesas, treinar seus colaboradores e rever o uso de aplicativos de mensagens no ambiente corporativo.