Novo malware ameaça usuários do WhatsApp Web no Brasil

Recentemente, especialistas da Trend Micro, uma renomada empresa de cibersegurança, descobriram uma nova técnica de ataque cibernético, denominada “Water Saci“. Esta estratégia utiliza um malware chamado “Sorvepotel” que se propaga por meio de arquivos compactados (.zip), explorando usuários do WhatsApp Web.

De acordo com a pesquisa realizada pela Trend Micro, 457 dos 477 incidentes identificados ocorreram em território brasileiro. As vítimas incluem órgãos públicos e empresas de diversos setores, como manufatura, tecnologia, educação e construção.

A Meta, empresa responsável pelo WhatsApp, afirmou estar comprometida em melhorar a segurança da plataforma. A companhia destaca a implementação de múltiplas camadas de proteção que oferecem contexto ao usuário ao receber mensagens de contatos desconhecidos, além da criptografia ponta a ponta que protege as conversas pessoais.

As fraudes associadas ao Sorvepotel frequentemente alteram o nome do arquivo para termos como “comprovante“, incentivando os destinatários a abrirem os arquivos. As mensagens fraudulentas informam que a visualização dos documentos é restrita a computadores e fornecem instruções para abertura no navegador Google Chrome.

Leia mais: WhatsApp é o canal preferido das marcas na Semana do Cliente

No entanto, ao abrir o arquivo zipado, um atalho do Windows (.LNK) é ativado. Este atalho executa um script em PowerShell – uma ferramenta legítima do sistema operacional – que baixa e ativa o código malicioso contido no arquivo.

Uma vez instalado, o Sorvepotel inicia um monitoramento detalhado das atividades de navegação do usuário. O malware verifica as páginas acessadas e busca por sinais de acesso a sites bancários ou corretoras. Caso encontre essas páginas, ele implementa mecanismos para roubar credenciais e outros dados sensíveis.

Em resposta a essa ameaça, a Febraban (Federação Brasileira de Bancos) assegura que o sistema bancário nacional possui robustas estruturas de monitoramento e utiliza tecnologias avançadas em segurança da informação, incluindo mensageria criptografada e autenticação biométrica.

Além disso, o malware verifica se há uma sessão ativa do WhatsApp Web no computador infectado. Ao detectá-la, utiliza um software de automação conhecido como Selenium junto com Chromedriver para controlar o navegador. O ataque simula ações do usuário: o malware abre conversas e envia automaticamente o mesmo arquivo ZIP para todos os contatos e grupos da vítima.

Os pesquisadores apontam que o Sorvepotel é escrito em .NET e injeta código na memória para executar suas principais funções. Essa abordagem permite que grande parte do ataque ocorra sem deixar vestígios no disco rígido, tornando mais difícil a detecção por softwares antivírus convencionais.

Há indícios também de que o malware se esforça para permanecer ativo mesmo após reinicializações do sistema e encerra suas operações ao identificar que está sendo analisado em um ambiente controlado.

A Trend Micro observou que o código do vírus parece ser direcionado especificamente aos usuários brasileiros; ele verifica o idioma e o fuso horário do dispositivo antes de executar determinadas funções.

Medidas de Proteção Recomendadas

A Trend Micro sugere algumas precauções essenciais:

• Desativar downloads automáticos no WhatsApp para evitar aberturas acidentais de arquivos maliciosos;
• Restringir transferências de arquivos em aplicativos pessoais nos dispositivos corporativos;
• Estar atento a mensagens suspeitas, especialmente aquelas que solicitam permissões em navegadores ou instruções incomuns;
• Manter os antivírus atualizados tanto em dispositivos móveis quanto em computadores;
• Evitar abrir anexos recebidos pelo WhatsApp imediatamente; confirmar com o remetente se o envio foi intencional;
• Verificar com o contato se realmente enviou o arquivo, pois muitos usuários não têm conhecimento de que suas contas foram comprometidas.