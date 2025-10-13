SÃO PAULO, SP (FOLHAPRESS) - Pesquisadores da empresa de cibersegurança Trend Micro identificaram uma estratégia -apelidada "Water Saci"- que usa um malware chamado "Sorvepotel" para infectar Windows com arquivos comprimidos (zip), aproveitando quem está usando o WhatsApp Web para se espalhar indevidamente.



Segundo a Trend Micro, 457 dos 477 incidentes detectados ocorreram no Brasil -e entre as vítimas há órgãos públicos, serviços e empresas de setores como manufatura, tecnologia, educação e construção.



A Meta diz que está trabalhando para tornar o WhatsApp um lugar mais seguro, e que possui camadas de proteção "que oferecem mais contexto sobre com quem você está conversando ao receber uma mensagem de alguém que você não conhece - além de proteger suas conversas pessoais com a criptografia de ponta a ponta".



Algumas variações da fraude mudam o nome do arquivo para "comprovante", para que a pessoa se sinta inclinada a abrir. A mensagem diz que a visualização do documento é permitida somente em computadores, e até oferece instruções para abrir no Google Chrome.



Dentro do arquivo zipado, no entanto, é aberto um atalho de Windows (arquivo .LNK) que, ao ser executado, aciona um script do PowerShell -uma ferramenta legítima do sistema operacional- que baixa e executa o código malicioso.



Depois de se instalar, o Sorvepotel começa a monitorar a navegação do usuário. Ele verifica as páginas que estão sendo acessadas e busca sinais de que a pessoa está entrando em sites de bancos ou de corretoras. Caso encontre algum desses endereços, o programa ativa mecanismos capazes de roubar credenciais e outros dados sensíveis.



Procurada, a Febraban (Federação Brasileira de Bancos) diz que o sistema bancário possui "robustas estruturas de monitoramento de seus sistemas e utiliza o que há de mais moderno em termos de tecnologia e segurança da informação", como mensageria criptografada, autenticação biométrica e tokenização, além de tecnologias como big data, analytics e inteligência artificial em processos de prevenção de riscos.



O malware ainda verifica se há uma sessão ativa do WhatsApp Web no computador infectado. Quando encontra a conexão, o vírus usa um software de automação chamado Selenium, junto com o Chromedriver, para controlar o navegador.



É como se o invasor tomasse o teclado do usuário por alguns segundos: o sistema começa a abrir as conversas e enviar o mesmo arquivo ZIP para todos os contatos e grupos da vítima.



Os pesquisadores explicam que o Sorvepotel é um arquivo DLL escrito em .NET, que injeta em memória um código que executa as principais funções do malware, o que significa que boa parte do ataque ocorre sem deixar rastros no disco rígido, dificultando a detecção por antivírus tradicionais.



Também há indícios de que o malware tente se manter ativo mesmo após reinicializações do sistema, e que ele encerra sua execução quando percebe que está rodando em um ambiente de análise, para evitar ser estudado por especialistas.



A Trend Micro afirma que o código do vírus parece ter sido projetado para atingir especificamente usuários brasileiros: ele checa o idioma e o fuso horário do computador e só executa certas funções se detectar que está em território nacional.



