Pesquisadores da Trend Micro identificaram uma nova variante do vírus Sorvepotel, capaz de roubar credenciais bancárias e se propagar pelo WhatsApp Web. O grupo de cibersegurança afirma ter encontrado fortes indícios de que ferramentas de inteligência artificial foram usadas para reescrever o código do malware, tornando-o mais sofisticado e difícil de detectar.
O que mudou
A atualização do Sorvepotel foi observada pela primeira vez em outubro, mas a versão agora analisada apresenta alterações relevantes:
- O código, antes escrito em outra linguagem, foi totalmente refeito em Python.
- Houve melhoria na organização interna dos arquivos e inclusão incomum de emojis no script.
- A compatibilidade foi ampliada para um maior número de navegadores e o disparo de mensagens tornou-se mais veloz.
Segundo a Trend Micro, a rapidez da adaptação e a formatação do código sugerem o uso de modelos de linguagem de grande porte (LLMs) ou de tradutores automáticos de programação.
Como o golpe acontece
A campanha não explora falhas do WhatsApp em si, mas tira proveito da confiança entre usuários. O processo segue cinco etapas principais:
- Envio de arquivos que simulam documentos legítimos (ZIP, PDF ou HTA).
- Execução do arquivo pela vítima, que estabelece conexão com o servidor de comando e controle.
- Download automático de um instalador responsável por contaminar o computador.
- Coleta de dados do sistema, como idioma, antivírus em uso e possíveis acessos bancários.
- Criação de páginas falsas de bancos, captura de senhas digitadas e de telas do usuário.
Durante a infecção, o programa procura pastas e histórico de navegação em busca de referências a instituições financeiras. A prática explora um cenário particular do Brasil: os módulos de segurança frequentemente exigidos por bancos, que facilitam a identificação da instituição principal usada pela vítima.
Riscos adicionais
Além do roubo de credenciais, o computador contaminado se transforma em um “zumbi”, recebendo comandos remotos dos criminosos. A conta do WhatsApp Web da vítima passa a enviar o arquivo malicioso a outros contatos, o que pode levar ao bloqueio ou banimento da conta por suspeita de spam.
Imagem: Reprodução
Alvos e recomendações
Embora a Trend Micro destaque que o foco maior seja em máquinas corporativas, o ataque costuma começar quando funcionários acessam contas pessoais no ambiente de trabalho. Entre as medidas sugeridas estão:
- Desativar downloads automáticos no WhatsApp.
- Restringir downloads em equipamentos da empresa.
- Promover treinamentos de conscientização sobre golpes digitais.
- Verificar por outro canal a autenticidade de qualquer arquivo recebido.
A evolução do Sorvepotel mostra como a adoção de IA por cibercriminosos pode acelerar a criação de golpes mais convincentes, elevando o nível de ameaça para usuários e empresas brasileiras.
Com informações de WizyThec
