Logo TecMundo
Segurança

Brasil é alvo de vírus que se espalha sozinho pelo WhatsApp

Malware envia arquivos maliciosos automaticamente e pode levar à suspensão de contas do WhatsApp.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule03/10/2025, às 17:03

updateAtualizado em 05/10/2025, às 12:47

O Brasil é o principal alvo de uma campanha de malware que se espalha automaticamente pelo WhatsApp. Nomeado de SORVEPOTEL, esse ataque em massa foi projetado com foco em velocidade e propagação. 

Por meio de um arquivo ZIP malicioso e mensagens convincentes, os cibercriminosos induzem as vítimas a abrir o documento em um computador.

smart_display

Nossos vídeos em destaque

477 casos detectados até o momento – com 457 no Brasil

A partir do momento que o arquivo é acessado no desktop - de preferência em computadores que usam Windows, o malware se propaga automaticamente via WhatsApp Web, até que as contas das vítimas sejam banidas por spam.

Leia Mais
Drone ucraniano acha 'armazém de antiguidades' durante missão

De acordo com a Trend Micro, que está investigando a campanha, já há 477 casos detectados até o momento – com 457 no Brasil. A empresa de cibersegurança afirma que o SORVEPOTEL impactou diretamente organizações governamentais e de serviços públicos além de empresas privadas. O que explica o foco da campanha no WhatsApp Web e a orientação para fazer o download do documento no computador.

O ataque começa quando um usuário recebe uma mensagem de phishing no WhatsApp vinda de um amigo ou colega – que já foi vítima do golpe, o que faz a mensagem parecer legítima. A mensagem traz um arquivo ZIP anexo, com nomes como "RES-20250930_112057.zip", "ORCAMENTO_114418.zip" ou algo parecido com comprovantes de pagamento, orçamentos ou marquis de aplicativos de saúde. 

Explorando a confiança em conversas no WhatsApp, a mensagem pede: “baixa o zip no PC e abre”.

sorvepotel-mensagem.png
Usuários do X (antigo Twitter) mostram as mensagens que contém o arquivo ZIP malicioso. Imagem: dilacer8/X

Trend Micro também acredita que o e-mail pode ser usado como vetor inicial de infecção. Vários e-mails de phishing foram observados distribuindo anexos ZIP com nomes como “COMPROVANTE_20251001_094031.zip", "ComprovanteSantander-75319981.682657420.zip" e "NEW-20251001_133944-PED_1273E322.zip". Esses e-mails vêm de endereços que parecem legítimos, usando assuntos como “Documento de Rafael B”, “Zip” ou “Extrato” para convencer os destinatários a abrir os anexos maliciosos.

Leia Mais
Malware Keenadu ataca celulares Android de brasileiros

Malware se configura para ser invisível e reativável

Ao abrir o ZIP, a vítima encontra um atalho do Windows (.LNK). Ao clicar, o atalho dispara silenciosamente um comando (linha de comando ou PowerShell) que baixa o malware principal de domínios controlados pelos invasores. Esse ajuda o malware a escapar de antivírus básicos. Vimos atividade parecida em domínios como sorvetenopoate[.]com, sorvetenoopote[.]com, etenopote[.]com, expahnsiveuser[.]com, sorv[.]etenopote[.]com e sorvetenopotel[.]com, todos usados para entregar a carga maliciosa.

O comando, após ser decodificado, baixa um script de uma URL e o executa diretamente na memória via Invoke-Expression (IEX). Ele roda em modo oculto para não aparecer para o usuário e usa comandos codificados para ofuscar o que faz. O arquivo baixado costuma ser um script em lote pensado para garantir persistência: ele se copia para a pasta de Inicialização do Windows, assim o malware volta a rodar toda vez que o PC é ligado.

Esse .BAT monta um comando PowerShell por meio de loops “for” e executa tudo numa janela oculta, com parâmetros para camuflagem. Depois de decodado, o PowerShell monta uma URL para o servidor de comando e controle (C&C), baixa conteúdo via Net.WebClient e executa na memória usando Invoke-Expression. O malware fala com múltiplos servidores C&C para receber instruções ou baixar módulos adicionais.
Um ponto-chave: ele detecta sessões ativas do WhatsApp Web.

Quando encontra, usa essa sessão para enviar automaticamente o mesmo ZIP malicioso para todos os contatos e grupos da conta comprometida, acelerando a propagação. O efeito prático é muito spam e, com frequência, suspensão das contas por violação dos termos do WhatsApp.

Leia Mais
IPTV falso infecta vítimas e esvazia contas bancárias

Depois da infecção inicial, o comportamento principal é a autorreplicação, ou seja, se espalhar ao máximo, e não necessariamente roubar dados ou criptografar arquivos. Até agora não há sinais claros de exfiltração ou ransomware, mas campanhas brasileiras com LNKs e PowerShell já miraram dados financeiros antes. Para se manter oculto, o malware usa domínios “typosquatting” (nomes parecidos com palavras legítimas, tipo “sorvetenopotel”, que lembra “sorvete no pote”), misturando tráfego malicioso com tráfego normal. A Trend também identificou possíveis vínculos com outras infraestruturas, como cliente[.]rte[.]com[.]br, usadas dias antes da escalada da campanha. Isso mostra que os operadores seguem diversificando e atualizando seus métodos para ampliar alcance e furtividade.

Como se proteger

Para evitar ser vítima desse golpe, é importante tomar algumas precauções como:

  • Desativar downloads automáticos no WhatsApp;
  • Bloquear transferências de arquivos em apps pessoais nos dispositivos corporativos;
  • Treinar funcionários para evitar abrir anexos suspeitos, mesmo de contatos conhecidos;
  • Usar canais oficiais e seguros para trocar documentos de trabalho.
     

Perguntas Frequentes

O que é o malware SORVEPOTEL e como ele se espalha?
SORVEPOTEL é um malware que se propaga automaticamente pelo WhatsApp Web após ser executado em um computador, preferencialmente com Windows. Ele é distribuído por meio de arquivos ZIP maliciosos enviados via mensagens de phishing, geralmente vindas de contatos já infectados, o que aumenta a credibilidade do golpe. Ao ser ativado, o malware envia o mesmo arquivo para todos os contatos e grupos da vítima, gerando spam e podendo levar à suspensão da conta.
Como o malware é instalado no computador da vítima?
O malware é ativado quando a vítima abre um arquivo ZIP malicioso em seu computador. Dentro do ZIP há um atalho (.LNK) que, ao ser clicado, executa comandos ocultos via PowerShell para baixar e rodar o malware diretamente na memória. Ele se instala de forma persistente, copiando-se para a pasta de Inicialização do Windows, garantindo que seja executado sempre que o computador for ligado.
Quais são os principais riscos para os usuários infectados?
O principal risco é a propagação automática do malware, que transforma a conta da vítima em um vetor de disseminação, enviando spam para todos os contatos. Isso pode resultar na suspensão da conta do WhatsApp por violação dos termos de uso. Até o momento, não há indícios de roubo de dados ou uso de ransomware, mas o histórico de campanhas similares no Brasil indica que isso pode evoluir.
Por que o Brasil é o principal alvo dessa campanha?
Dos 477 casos detectados, 457 ocorreram no Brasil, indicando um foco claro dos cibercriminosos no país. A campanha também afetou organizações governamentais, serviços públicos e empresas privadas brasileiras. O uso massivo do WhatsApp no Brasil e a confiança nas mensagens entre contatos próximos tornam o ambiente propício para esse tipo de ataque.
Como o malware consegue se manter oculto no sistema?
O SORVEPOTEL utiliza técnicas de ofuscação, como comandos codificados e execução em modo oculto, para evitar a detecção por antivírus básicos. Ele também se comunica com múltiplos servidores de comando e controle (C&C) e utiliza domínios com nomes semelhantes a palavras legítimas (typosquatting), como “sorvetenopotel”, para camuflar seu tráfego malicioso.
Quais são os vetores de infecção além do WhatsApp?
Além do WhatsApp, o malware também pode ser distribuído por e-mails de phishing com anexos ZIP maliciosos. Esses e-mails usam remetentes e assuntos que parecem legítimos, como “Documento de Rafael B” ou “ComprovanteSantander”, para enganar os destinatários e induzi-los a abrir os arquivos.
Como posso me proteger contra esse tipo de ataque?
Algumas medidas recomendadas incluem: desativar downloads automáticos no WhatsApp, bloquear transferências de arquivos em aplicativos pessoais em dispositivos corporativos, treinar funcionários para não abrir anexos suspeitos, mesmo que venham de contatos conhecidos, e utilizar canais oficiais e seguros para o envio de documentos de trabalho.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 2 dias
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
Smartphone POCO C85, 256GB
37% off

Cupom GANHOU50

Smartphone POCO C85, 256GB

R$ 994,76

Celulares magazineluiza.com.brnew_releases
Fritadeira Air Fryer Oven HQ 3 em 1, 12L
23% off

Cupom EPCOM10

Fritadeira Air Fryer Oven HQ 3 em 1, 12L

R$ 296,11

Eletro magazineluiza.com.brnew_releases
Kindle Colorsoft Signature Edition
15% off

Aproveite já!

Kindle Colorsoft Signature Edition

R$ 1.399,00

Tablets amazon.com.brnew_releases
Kindle Paperwhite Signature Edition
20% off

Oferta especial!

Kindle Paperwhite Signature Edition

R$ 959,00

Tablets amazon.com.brnew_releases
Cafeteira Dolce Gusto Mini Me
36% off

Cupom MAQUINA5

Cafeteira Dolce Gusto Mini Me

R$ 370,04

Eletro amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA