Uma campanha de malware batizada de Water Saci está utilizando o WhatsApp para se autopropagar e comprometer computadores com Windows no Brasil, de acordo com relatório da Trend Micro divulgado nesta segunda-feira (6). O ataque emprega o programa malicioso SORVEPOTEL e tem como alvos principais bancos como Banco do Brasil, Caixa, Itaú e Bradesco, além de corretoras de criptomoedas.
Como o golpe funciona
A ofensiva começa com uma mensagem de phishing enviada a partir de uma conta do WhatsApp já comprometida — normalmente pertencente a um amigo ou colega da vítima. O texto traz um arquivo ZIP disfarçado de documento legítimo, com nomes como “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”.
Ao abrir o ZIP em um computador, o usuário executa um atalho .LNK que inicia silenciosamente um script PowerShell. Esse código baixa cargas adicionais hospedadas em domínios controlados pelos criminosos, incluindo sorvetenopotel [.]com e expahnsiveuser [.]com.
Módulos de roubo de dados
Instalado o malware, entram em ação os módulos Maverick.StageTwo e Maverick.Agent, projetados para:
- Capturar credenciais bancárias e tokens de autenticação.
- Exibir janelas de sobreposição em sites legítimos, solicitando senhas, assinaturas eletrônicas ou códigos QR falsos.
- Monitorar visitas a domínios financeiros brasileiros por meio da análise de conteúdo HTML.
Propagação automática
O SORVEPOTEL também sequestra sessões ativas do WhatsApp Web nos computadores infectados. Quando detecta uma conta logada, o malware redistribui automaticamente o mesmo arquivo ZIP malicioso para todos os contatos e grupos da vítima, ampliando a disseminação.
Alcance da campanha
Segundo a telemetria da Trend Micro, foram identificados 477 incidentes, dos quais 457 ocorreram no Brasil. As principais vítimas pertencem aos setores governamental e de serviços públicos, mas organizações de manufatura, tecnologia, educação e construção também foram afetadas.
Imagem: Trend Micro
Técnicas de evasão
Para evitar bloqueios, os invasores utilizam domínios propositalmente digitados com erros — como “sorvetenopotel”, parecido com a expressão “sorvete no pote” — para se misturar ao tráfego legítimo. O malware ainda exige que o anexo seja aberto em desktop, indicando preferência por alvos corporativos.
Recomendações de segurança
Entre as medidas sugeridas pela Trend Micro para reduzir o risco estão:
- Desabilitar downloads automáticos no WhatsApp.
- Bloquear ou restringir transferências de arquivos em aplicativos pessoais por meio de políticas de firewall e segurança de endpoint.
- Promover treinamentos regulares para que funcionários reconheçam tentativas de phishing e usem canais autorizados para troca de documentos.
Os especialistas reforçam que o uso combinado de engenharia social e automação confere velocidade e alcance incomuns à campanha Water Saci, exigindo atenção redobrada de empresas e usuários.
Com informações de WizyThec
