Pesquisadores de segurança cibernética estão em alerta máximo após a identificação de um novo malware autopropagante que se dissemina rapidamente por meio do WhatsApp.
Batizado de SORVEPOTEL pela Trend Micro, o código malicioso tem como principal alvo usuários brasileiros, explorando a confiança entre contatos da plataforma para infectar sistemas Windows.
Segundo a Trend Micro, o ataque não visa diretamente o roubo de dados nem criptografia de arquivos, como ocorre em campanhas de ransomware. O foco está na velocidade e no alcance da propagação.
A infecção começa com uma mensagem de phishing convincente, enviada por um contato já comprometido, contendo um arquivo ZIP malicioso.
Os pesquisadores Jeffrey Francis Bonaobra e sua equipe observaram um detalhe revelador: o texto da mensagem solicita que o anexo seja aberto em um computador desktop, indicando que o ataque pode ter sido planejado para atingir empresas e não apenas usuários domésticos.
Ao abrir o arquivo ZIP, a vítima executa um atalho do Windows (LNK) disfarçado, que ativa silenciosamente um script PowerShell. Esse script se conecta a um servidor remoto — identificado como sorvetenopoate[.]com — para baixar o payload principal do malware.
Há também indícios de que os cibercriminosos estejam usando e-mails como canal adicional de distribuição dos arquivos ZIP, ampliando o vetor de ataque.
O payload, implementado como um script em lote, tem o objetivo de garantir persistência no sistema, copiando-se para a pasta de inicialização do Windows para ser executado automaticamente. Em seguida, o malware estabelece comunicação com um servidor de Comando e Controle (C2) para receber instruções adicionais.
O diferencial mais preocupante do SORVEPOTEL é seu mecanismo de autopropagação via WhatsApp.
Quando detecta que a versão desktop ou web do aplicativo está ativa, o malware envia automaticamente o arquivo ZIP malicioso para todos os contatos e grupos da vítima.
Essa automação gera uma avalanche de mensagens fraudulentas, que frequentemente resultam em suspensão ou banimento das contas por violação dos termos de uso do WhatsApp.
De acordo com os dados da Trend Micro, já foram registradas 477 infecções, sendo 457 localizadas no Brasil.
Os setores mais afetados incluem governo, serviço público, manufatura, tecnologia, educação e construção civil, reforçando a hipótese de que os hackers estão mirando ambientes corporativos.
Até o momento, não há evidências de roubo de dados ou criptografia de arquivos, indicando que o foco da campanha é maximizar a disseminação do malware e testar novas técnicas de propagação automatizada.
