Uma nova campanha de ciberataques está em curso no Brasil com a disseminação do malware Sorvepotel, programa malicioso voltado ao roubo de senhas e dados bancários. O vírus é distribuído principalmente por mensagens no WhatsApp e e-mails fraudulentos.
Segundo levantamento da Trend Micro, foram identificados 477 casos de infecção, sendo 457 no Brasil. O nome “Sorvepotel” faz referência a domínios utilizados pelos criminosos com a expressão “sorvete no pote”. A campanha também é conhecida entre especialistas como “Water Saci”.
Como ocorre o ataque
O golpe é espalhado por um arquivo ZIP enviado como se fosse um recibo, comprovante ou orçamento — em alguns casos, com temas relacionados à saúde. A mensagem orienta a vítima a baixar o anexo no computador.
Dentro do arquivo, há um atalho em formato LNK, que, ao ser aberto, conecta o sistema a um servidor externo. A partir daí, o malware executa diversas ações, entre elas usar o WhatsApp Web da vítima para se propagar, enviando o mesmo arquivo a outros contatos. Esse comportamento tem levado contas a serem bloqueadas pela Meta por envio de spam.
Além disso, o Sorvepotel instala um trojan bancário capaz de monitorar o navegador e detectar acessos a sites de instituições financeiras e corretoras de criptomoedas. Quando identifica um desses endereços, o programa exibe páginas falsas para capturar logins e senhas.
Entre os alvos estão Banco do Brasil, Bradesco, Caixa, Itaú, Santander, Banestes, Banrisul, Binance, Foxbit, Mercado Bitcoin, entre outros.
Medidas de proteção
A Trend Micro recomenda desativar os downloads automáticos do WhatsApp, verificar a autenticidade de remetentes e não abrir anexos suspeitos.
Como a campanha tem foco em dispositivos corporativos, a empresa também orienta que organizações restringam o envio de arquivos por aplicativos pessoais, adotem políticas de segurança para dispositivos próprios (BYOD) e alertem colaboradores sobre o risco de abrir arquivos desconhecidos.
