Uma nova ameaça digital batizada de SORVEPOTEL está transformando o WhatsApp Web em um verdadeiro trampolim para infecções de computador no Brasil. O malware, detectado pela Trend Micro, já soma 457 casos no país (de um total de 477 no mundo) e se destaca por sua velocidade de replicação: basta o usuário abrir um arquivo ZIP malicioso no PC para que a praga use a sessão do WhatsApp Web e dispare o mesmo anexo para todos os contatos da vítima.
Como o golpe começa
O ponto de partida é sempre uma mensagem aparentemente inofensiva enviada por um amigo, colega de trabalho ou parente que já foi contaminado. Dentro do chat há um ZIP com nomes que imitam orçamentos ou comprovantes, por exemplo “RES-20250930_112057.zip”. Ao descompactar, o usuário encontra um atalho do Windows (.lnk).
Um duplo clique nesse atalho dispara, em segundo plano, um comando PowerShell responsável por baixar o código principal a partir de domínios criados para despistar antivírus (ex.: sorvetenopoate[.]com ou expahnsiveuser[.]com).
Por que o WhatsApp Web é o grande alvo
O SORVEPOTEL verifica se existe uma sessão ativa do WhatsApp Web no navegador. Se houver, ele envia automaticamente o ZIP infectado para todos os contatos e grupos da vítima, comportamento que costuma levar à suspensão da conta por spam. Do ponto de vista dos atacantes, esse é o “atalho perfeito” para escalar rapidamente dentro de redes corporativas sem depender de e-mails ou links externos.
Impacto prático: do home office aos gamers
Para quem trabalha de casa ou joga no mesmo PC, o estrago pode ir além do banimento no WhatsApp:
- Arquivos de perfil de jogos (saves e configurações) correm risco se o malware passar a baixar módulos adicionais — algo comum em campanhas brasileiras.
- Ferramentas de streaming, como OBS e Discord, podem ser afetadas caso a praga decida capturar credenciais mais tarde.
- Quem usa o computador para transações bancárias ou criptomoedas deve redobrar a atenção: LNK + PowerShell já foram usados para roubar dados financeiros em campanhas passadas.
Como se defender — boas práticas e gadgets que ajudam
Além das recomendações clássicas, alguns acessório de segurança (muitos disponíveis na Amazon) podem reforçar sua proteção diária:
Imagem: Internet
- Desative o download automático de mídia no WhatsApp (Configurações > Armazenamento e dados).
- Autenticação por hardware: chaves FIDO2 como a YubiKey impedem que invasores acessem suas contas mesmo se obtiverem login e senha.
- Antivírus de próxima geração (ESET, Bitdefender, Kaspersky) têm módulos específicos de detecção de PowerShell e comportamento anômalo.
- Roteadores gamers com firewall avançado (ex.: ASUS ROG Rapture) permitem bloquear domínios suspeitos diretamente na rede doméstica.
- Em ambientes corporativos, bloqueie transferências de arquivos em apps pessoais e implemente Zero Trust para conexões web.
O que esperar daqui para frente
Até agora o SORVEPOTEL não exibe rotinas de ransomware ou roubo de dados declarado, mas a infraestrutura C&C mutante — que troca de domínio constantemente — indica que o grupo por trás da campanha pode acoplar novos módulos a qualquer momento. Vale lembrar que golpes análogos, como o “Esquema Boleto” de 2023, começaram com simples autorreplicação e evoluíram para furtar credenciais bancárias.
Em um cenário em que cada clique pode transformar seu PC gamer ou estação de trabalho em um vetor de ataque, a máxima “pensar duas vezes antes de abrir anexos” nunca foi tão literal.
Com informações de Tecmundo
