O que está acontecendo
Um novo tipo de malware, apelidado “SORVEPOTEL”, está sendo usado por criminosos para infectar sistemas Windows via WhatsApp, com foco em usuários e organizações no Brasil.
Ele se propaga de forma automática — uma vez executado no computador da vítima, envia cópias de si mesmo para todos os contatos do WhatsApp Web da pessoa, com pouco ou nenhum controle humano.
Como o ataque funciona
- A vítima recebe uma mensagem no WhatsApp — geralmente de um contato comprometido — com um ficheiro ZIP em anexo que parece legítimo (por exemplo recibo, orçamento ou formulário).
- Dentro do ZIP há um atalho (.LNK) para Windows que, ao ser executado, dispara um script PowerShell escondido.
- O script baixa um segundo payload (normalmente um arquivo de lote) que instala persistência no sistema (por exemplo, copiando-se para a pasta de arranque).
- Se o usuário tiver sessão ativa no WhatsApp Web, o malware aproveita isso para enviar a mesma mensagem infectada para todos os contactos e grupos, ampliando rapidamente a propagação.
- Diferente de muitos malwares focados em roubo de dados ou extorsão, a prioridade do SORVEPOTEL parece ser propagação rápida e impacto operacional, mais do que criptografar ou sequestrar arquivos.
Quem está sendo afetado
- A maioria das infecções detectadas até agora ocorre no Brasil — dos ~477 casos conhecidos, cerca de 457 foram no Brasil.
- Os setores atingidos incluem governo, serviços públicos, manufatura, educação, tecnologia e construção.
- O fato de exigir interação em ambiente desktop (ex: abrir o ZIP e o atalho) sugere foco em ambientes corporativos, não apenas em telemóveis.
Por que esse ataque é preocupante
- Ele explora confiança: a mensagem parece vir de um contacto legítimo, o que leva à menor suspeita.
- A velocidade de propagação: em poucos minutos, uma unidade infectada pode gerar dezenas ou centenas de novas infecções.
- Uso de plataforma comum de comunicação (WhatsApp) que muitas empresas utilizam, aumentando risco de contaminação cruzada entre dispositivos pessoais e corporativos.
- Pode causar banimento da conta WhatsApp, interrupção de comunicação interna ou externa e reputação danificada, mesmo se não houver roubo direto de dados.
O que fazer para se proteger
- Não abrir arquivos ZIP ou LNK recebidos por WhatsApp se vierem de contactos inesperados, ou mesmo de contactos conhecidos mas com mensagem fora do habitual.
- Garantir que os sistemas Windows corporativos e pessoais tenham antivírus/EDR atualizados e regras de prevenção de execução de scripts não autorizados.
- Restringir o uso de sessão WhatsApp Web em máquinas que contêm informações sensíveis ou acesso corporativo.
- Educar os colaboradores de empresas sobre o risco de malware via apps de mensagem e reforçar a política de “não clique se parecer estranho”.
- Monitorar comunicação via WhatsApp e outros canais de mensagem para identificar padrões invulgares (ex: múltiplas mensagens com anexos ZIP enviados por mesmos contactos, uso de grupos empresariais).
Cenário local e implicações para o Brasil
Dado o número elevado de casos no Brasil e o foco em setores públicos e privados, o SORVEPOTEL representa uma ameaça real à segurança das organizações brasileiras. Ele reforça a necessidade de se tratar o WhatsApp não apenas como ferramenta de conveniência, mas como possível vetor de ataque. Para o marketing digital, por exemplo, esse tipo de incidente pode afetar a continuidade operacional de agências e departamentos — ou comprometer a comunicação interna com clientes.
Conclusão
O malware SORVEPOTEL evidencia que as ameaças de cibersegurança estão cada vez mais adaptadas ao comportamento humano e às plataformas de comunicação cotidianas. A propagação rápida, por meio de confiança e automação, torna-o um desafio significativo. Organizações no Brasil devem agir com rapidez para reforçar suas defesas, treinar seus colaboradores e rever o uso de aplicativos de mensagens no ambiente corporativo.