Malware “SORVEPOTEL” afeta organizações públicas e privadas e acende alerta de segurança digital no país
O Brasil se tornou o principal alvo mundial de uma nova campanha de malware que está se espalhando automaticamente pelo WhatsApp Web, comprometendo usuários e, principalmente, empresas que utilizam o aplicativo em seus ambientes de trabalho.
Batizado de SORVEPOTEL, o ataque, identificado pela empresa de cibersegurança Trend Micro, tem como objetivo propagar-se em alta velocidade e causar suspensão em massa de contas por envio automático de arquivos maliciosos.
De acordo com a Trend Micro, já foram detectados 477 casos, sendo 457 apenas no Brasil, entre órgãos públicos, prestadores de serviço e companhias privadas. A campanha tem foco em desktops corporativos, justamente por onde o WhatsApp Web costuma ser acessado, facilitando a disseminação em redes internas e profissionais.
Como o ataque acontece
O vetor inicial é simples, mas eficaz: uma mensagem de phishing enviada por um contato conhecido – um colega, fornecedor ou cliente que já foi infectado.
O conteúdo inclui um arquivo ZIP malicioso, disfarçado com nomes aparentemente legítimos, como:
- “RES-20250930_112057.zip”
- “ORCAMENTO_114418.zip”
- “COMPROVANTE_20251001_094031.zip”
Ao abrir o arquivo no computador, o usuário executa um atalho (.LNK) que aciona comandos PowerShell em modo oculto, baixando o malware principal de domínios como sorvetenopoate[.]com, etenopote[.]com e variações parecidas, prática conhecida como typosquatting, que simula nomes legítimos para despistar antivírus e firewalls corporativos.
Uma vez ativo, o código busca sessões abertas do WhatsApp Web. Quando encontra, envia automaticamente o mesmo arquivo malicioso a todos os contatos e grupos, replicando o ataque em segundos.
O resultado é o envio em massa de spam, seguido da suspensão automática da conta pelo WhatsApp, que interpreta o comportamento como atividade automatizada suspeita.
Segundo análise técnica da Trend Micro, uma das maiores fornecedoras de soluções de segurança digital do mundo, o SORVEPOTEL não tem como principal objetivo roubar dados ou criptografar arquivos, como os ransomwares tradicionais, mas sim se propagar rapidamente em escala. Ainda assim, especialistas alertam que variantes futuras podem incorporar módulos de espionagem ou roubo de credenciais.
Por que as empresas são o alvo
O foco do ataque no ambiente corporativo não é por acaso.
Com a popularização do uso do WhatsApp como ferramenta de atendimento e comunicação interna, muitas empresas mantêm sessões abertas da versão Web em computadores compartilhados ou sem políticas rígidas de segurança.
Essa brecha é ideal para o tipo de infecção usada pelo SORVEPOTEL.
Além disso, o malware foi projetado para escapar de antivírus básicos, executando comandos diretamente na memória e garantindo persistência no sistema, ou seja, volta a funcionar mesmo após reinicializações.
Isso representa um risco operacional para empresas que dependem do aplicativo para vendas, suporte e relacionamento com clientes. “A campanha reflete um amadurecimento das ameaças digitais no Brasil. O uso de canais de comunicação populares como vetor de ataque é um alerta claro para o ambiente corporativo”, destaca um analista ouvido pela Trend Micro na investigação.
Impactos e recomendações para o setor corporativo
A Trend Micro já notificou casos em empresas de serviços públicos, órgãos de governo e prestadoras privadas de tecnologia e saúde, o que reforça o potencial de contaminação cruzada entre redes pessoais e corporativas.
As recomendações para empresas incluem:
- Desativar downloads automáticos no WhatsApp Web e em outros aplicativos de mensagem;
- Bloquear o uso de apps pessoais em máquinas corporativas;
- Implementar treinamento contínuo sobre engenharia social e phishing, inclusive para colaboradores que usam dispositivos próprios;
- Adotar soluções corporativas de proteção de endpoint e detecção de scripts maliciosos, com monitoramento ativo;
- Isolar contas de comunicação comercial em navegadores dedicados e redes separadas;
- Verificar logs de rede e endpoints em busca de domínios suspeitos citados na campanha (como
sorvetenopote[.]come similares).
Contexto e tendência
A ocorrência do SORVEPOTEL se soma a uma série de ataques cibernéticos recentes no Brasil, conforme levantado pela pesquisa sobre o panorama tecnológico.
Os dados indicam que a América Latina é o segundo continente mais afetado por campanhas de malware, atrás apenas da Ásia. No Brasil, o avanço da digitalização empresarial e o uso intensivo de mensageria como canal de negócios aumentam a superfície de ataque das companhias.
Para especialistas, o episódio reforça a importância de políticas de segurança digital corporativa integradas e do cumprimento efetivo da LGPD, já que o compartilhamento indevido de dados e credenciais é uma das portas de entrada mais exploradas pelos invasores.
O caso SORVEPOTEL não é apenas mais um golpe de WhatsApp: ele é um alerta sobre o risco da normalização da vulnerabilidade digital. Empresas que tratam segurança apenas como uma questão técnica e não estratégica, tendem a ser as mais atingidas.
Como mostrou a Trend Micro na pesquisa mais recente, o Brasil permanece no radar global dos cibercriminosos, e as campanhas estão cada vez mais sofisticadas, misturando confiança, rotina e automação para atingir o que há de mais sensível nas empresas: sua comunicação.
Texto: Redação TI RIO