Ministério Publico do Estado de Mato Grosso
Centros de Apoio Operacional > CAO CIBER >

Brasil é alvo de vírus que se espalha sozinho pelo WhatsApp

terça-feira, 07 de outubro de 2025, 12h56

Brasil é o principal alvo de uma campanha de malware que se espalha automaticamente pelo WhatsApp. Nomeado de SORVEPOTEL, esse ataque em massa foi projetado com foco em velocidade e propagação. 

 

Por meio de um arquivo ZIP malicioso e mensagens convincentes, os cibercriminosos induzem as vítimas a abrir o documento em um computador.

 

 

A partir do momento que o arquivo é acessado no desktop - de preferência em computadores que usam Windows, o malware se propaga automaticamente via WhatsApp Web, até que as contas das vítimas sejam banidas por spam.

 

De acordo com a Trend Micro, que está investigando a campanha, já há 477 casos detectados até o momento – com 457 no Brasil. A empresa de cibersegurança afirma que o SORVEPOTEL impactou diretamente organizações governamentais e de serviços públicos além de empresas privadas. O que explica o foco da campanha no WhatsApp Web e a orientação para fazer o download do documento no computador.

 

O ataque começa quando um usuário recebe uma mensagem de phishing no WhatsApp vinda de um amigo ou colega – que já foi vítima do golpe, o que faz a mensagem parecer legítima. A mensagem traz um arquivo ZIP anexo, com nomes como "RES-20250930_112057.zip", "ORCAMENTO_114418.zip" ou algo parecido com comprovantes de pagamento, orçamentos ou marquis de aplicativos de saúde. 

 

Usuários do X (antigo Twitter) mostram as mensagens que contém o arquivo ZIP malicioso. Imagem: dilacer8/X

 

Trend Micro também acredita que o e-mail pode ser usado como vetor inicial de infecção. Vários e-mails de phishing foram observados distribuindo anexos ZIP com nomes como “COMPROVANTE_20251001_094031.zip", "ComprovanteSantander-75319981.682657420.zip" e "NEW-20251001_133944-PED_1273E322.zip". Esses e-mails vêm de endereços que parecem legítimos, usando assuntos como “Documento de Rafael B”, “Zip” ou “Extrato” para convencer os destinatários a abrir os anexos maliciosos.

 

Malware se configura para ser invisível e reativável

 

Ao abrir o ZIP, a vítima encontra um atalho do Windows (.LNK). Ao clicar, o atalho dispara silenciosamente um comando (linha de comando ou PowerShell) que baixa o malware principal de domínios controlados pelos invasores. Esse ajuda o malware a escapar de antivírus básicos. Vimos atividade parecida em domínios como sorvetenopoate[.]com, sorvetenoopote[.]com, etenopote[.]com, expahnsiveuser[.]com, sorv[.]etenopote[.]com e sorvetenopotel[.]com, todos usados para entregar a carga maliciosa.

 

O comando, após ser decodificado, baixa um script de uma URL e o executa diretamente na memória via Invoke-Expression (IEX). Ele roda em modo oculto para não aparecer para o usuário e usa comandos codificados para ofuscar o que faz. O arquivo baixado costuma ser um script em lote pensado para garantir persistência: ele se copia para a pasta de Inicialização do Windows, assim o malware volta a rodar toda vez que o PC é ligado.

 

Esse .BAT monta um comando PowerShell por meio de loops “for” e executa tudo numa janela oculta, com parâmetros para camuflagem. Depois de decodado, o PowerShell monta uma URL para o servidor de comando e controle (C&C), baixa conteúdo via Net.WebClient e executa na memória usando Invoke-Expression. O malware fala com múltiplos servidores C&C para receber instruções ou baixar módulos adicionais.
Um ponto-chave: ele detecta sessões ativas do WhatsApp Web.

 

Quando encontra, usa essa sessão para enviar automaticamente o mesmo ZIP malicioso para todos os contatos e grupos da conta comprometida, acelerando a propagação. O efeito prático é muito spam e, com frequência, suspensão das contas por violação dos termos do WhatsApp.

 

Depois da infecção inicial, o comportamento principal é a autorreplicação, ou seja, se espalhar ao máximo, e não necessariamente roubar dados ou criptografar arquivos. Até agora não há sinais claros de exfiltração ou ransomware, mas campanhas brasileiras com LNKs e PowerShell já miraram dados financeiros antes. Para se manter oculto, o malware usa domínios “typosquatting” (nomes parecidos com palavras legítimas, tipo “sorvetenopotel”, que lembra “sorvete no pote”), misturando tráfego malicioso com tráfego normal. A Trend também identificou possíveis vínculos com outras infraestruturas, como cliente[.]rte[.]com[.]br, usadas dias antes da escalada da campanha. Isso mostra que os operadores seguem diversificando e atualizando seus métodos para ampliar alcance e furtividade.

 

Como se proteger

 

Para evitar ser vítima desse golpe, é importante tomar algumas precauções como:

 

- Desativar downloads automáticos no WhatsApp;

 

- Bloquear transferências de arquivos em apps pessoais nos dispositivos corporativos;

 

- Treinar funcionários para evitar abrir anexos suspeitos, mesmo de contatos conhecidos;

 

- Usar canais oficiais e seguros para trocar documentos de trabalho.

 

Fonte: Tecmundo.

26/11/2025 Cyberbullying: Dever de cuidado das escolas e novas concepções da responsabilidade civil

26/11/2025 Operação Endgame atinge crime cibernético global

26/11/2025 A infância não pode esperar: O dever de agir no combate à violência sexual digital

26/11/2025 Vida dupla: especialistas em cibersegurança são presos por aplicar golpes

25/11/2025 Banco Central permitirá que clientes bloqueiem abertura de chaves PIX em seu nome

25/11/2025 Do roubo de certificados digitais à sequestros de dados: os golpes digitais que ameaçam negócios brasileiros

25/11/2025 "Precisa de ajuda?" Novo malware tem até vídeo tutorial para te guiar no golpe

25/11/2025 Cresce número de incidentes reportados à ANPD

24/11/2025 Ataques cibernéticos atingem construção civil globalmente

24/11/2025 BC cria novas regras para criptoativos e combate à lavagem de dinheiro

topo