Campanha maliciosa visa usuários de WhatsApp no Brasil

Uma campanha envolvendo o malware Sorvepotel, denominada “Water Saci”, está em andamento principalmente no Brasil, com distribuição por WhatsApp no computador e também por email.

O nome da campanha vem de uma das fases do ataque, quando o malware se conecta a diversos endereços da web derivados da expressão “sorvete no pote”.

A distribuição ocorre por meio de um arquivo ZIP enviado pelo WhatsApp, geralmente disfarçado de recibo, comprovante ou orçamento. Em alguns casos, o arquivo finge ser um documento relacionado à área da saúde.

A mensagem sugere que o anexo seja baixado em um computador, não em um celular. Dentro do ZIP há um atalho no formato LNK (compatível com Windows) que, ao ser executado, conecta o dispositivo a um servidor externo. A partir daí, o malware replica a mensagem no próprio WhatsApp Web para espalhar o arquivo ZIP e também baixa um trojan capaz de monitorar a atividade do navegador, detectando acessos a sites bancários ou de empresas de criptomoedas para exibir páginas falsas e roubar credenciais de login.

O Brasil concentra a maior parte das infecções do Sorvepotel. Segundo a Trend Micro, dos 477 casos identificados até o momento, 457 ocorreram no país.