O WhatsApp está sendo usado por criminosos em uma campanha de malware no Brasil que se autopropaga. Conhecida como “Water Saci”, a ação utiliza o malware recém-identificado SORVEPOTEL, que se espalha por sistemas Windows por meio de mensagens de phishing convincentes com anexos de arquivos ZIP maliciosos, segundo relatório da Trend Micro. O objetivo é atingir instituições financeiras e corretoras de criptomoedas, incluindo Banco do Brasil, Caixa, Itaú e Bradesco.
Ao contrário dos ataques tradicionais focados em roubo ou ransomware, esta campanha foi projetada para velocidade e propagação, abusando da confiança social e da automação para se espalhar, diz a investigação. “Curiosamente, a mensagem que contém o anexo malicioso exige que os usuários a abram em um desktop, sugerindo que os agentes da ameaça podem estar mais interessados em atingir empresas do que consumidores.”
Como funciona?
- A infecção começa com uma mensagem de phishing enviada de uma conta comprometida do WhatsApp — geralmente pertencente a um amigo ou colega — que contém um arquivo ZIP malicioso disfarçado de documento legítimo (por exemplo, “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”);
- Ao ser aberto, o arquivo revela um atalho malicioso do Windows (.LNK) que executa silenciosamente um script do PowerShell. Esse script baixa e executa payloads adicionais diretamente de domínios controlados pelo invasor, como sorvetenopotel[.]com e expahnsiveuser[.]com;
- Uma vez implantado, o malware ativa o Maverick.StageTwo e do Maverick.Agent, módulos projetados para roubar credenciais financeiras e monitorar a atividade do usuário;
- O malware pode criar janelas de sobreposição que aparecem sobre sites bancários legítimos para roubar credenciais de usuários e tokens de autenticação. Ele exibe formulários falsos para senhas, assinaturas eletrônicas ou códigos QR para que pareça integrada ao site real, enquanto captura informações confidenciais do usuário;
- Os criminosos também monitoram a atividade do usuário para identificar visitas a sites bancários brasileiros específicos utilizando correspondência de domínio e análise de conteúdo HTM;
- O SORVEPOTEL é capaz de sequestrar sessões ativas do WhatsApp Web em dispositivos infectados. Quando detectado, o malware aproveita essa sessão para distribuir automaticamente o mesmo arquivo ZIP malicioso para todos os contatos e grupos associados à conta comprometida da vítima.
Leia Mais:
- Brasil é o 2º país mais atacado por malware em 2025, aponta relatório
- Link suspeito? Microsoft Teams terá alerta sobre URLs maliciosas
- 5 malwares que infectam o celular mesmo sem você ter baixado aplicativos
Campanha direcionada
De acordo com a telemetria da Trend Research, a atividade inicial sugere um foco regional no Brasil, com 457 dos 477 casos detectados até agora. A campanha impactou mais organizações governamentais e de serviços públicos, mas também vitimou organizações de manufatura, tecnologia, educação e construção, segundo o relatório.
Para evitar a detecção e manter a persistência, o malware emprega diversas estratégias: utiliza domínios ofuscados e com erros de digitação, como “sorvetenopotel”, que lembra bastante a inofensiva frase brasileira “sorvete no pote”. Essa tática ajuda a infraestrutura maliciosa a se camuflar no tráfego legítimo, diz o documento.
Para minimizar os riscos associados à campanha, a Trend recomenda alguns itens práticos de defesa inicial:
- Desative os downloads automáticos no WhatsApp nas configurações do aplicativo para reduzir a exposição acidental a arquivos maliciosos;
- Use políticas de segurança de endpoint ou firewall para bloquear ou restringir transferências de arquivos por meio de aplicativos pessoais, como WhatsApp, Telegram ou WeTransfer, em dispositivos gerenciados pela empresa;
- Recomenda-se que as organizações ofereçam treinamentos regulares de segurança para ajudar os funcionários a reconhecer os perigos de baixar arquivos por meio de plataformas de mensagens, promovendo o uso de canais seguros e aprovados para a transferência de documentos comerciais.
O post Water Saci: golpe mira bancos e corretoras de criptomoedas no Brasil apareceu primeiro em Olhar Digital.