Pesquisadores da Trend Micro descobriram uma nova ameaça chamada SORVEPOTEL, um malware capaz de se propagar automaticamente pelo WhatsApp Web e que já afetou centenas de usuários no Brasil. Diferente de ataques que roubam dados ou instalam ransomware, o SORVEPOTEL foi projetado para se espalhar rapidamente, explorando a confiança entre contatos e grupos da plataforma. O ataque começa com uma mensagem de phishing enviada por um contato comprometido, contendo um arquivo ZIP aparentemente inofensivo, muitas vezes disfarçado como um comprovante ou aplicativo de saúde.
Ao ser aberto em um computador, o arquivo executa um atalho malicioso (LNK) que ativa um script em PowerShell, responsável por baixar o código principal a partir de servidores externos. Uma vez instalado, o malware se copia para a pasta de inicialização do Windows, garantindo que seja executado a cada reinício do sistema. Ele também se conecta a servidores de comando e controle (C2) para receber novas instruções, podendo baixar componentes adicionais. O diferencial do SORVEPOTEL é sua capacidade de se espalhar automaticamente via WhatsApp Web.
Caso detecte que o serviço está ativo no computador, o malware envia o mesmo arquivo malicioso para todos os contatos e grupos da vítima. Isso provoca uma onda de mensagens em massa e frequentemente leva à suspensão ou banimento da conta do WhatsApp por comportamento suspeito. Pesquisadores também identificaram tentativas de disseminação por e-mail, com mensagens enviadas de endereços aparentemente legítimos. Isso reforça a sofisticação da campanha, que busca atingir o maior número possível de alvos.
