Pesquisadores da Trend Micro Research investigam uma campanha de malware bastante agressiva que se aproveita do WhatsApp Web para infectar computadores. Ao invés de roubar dados ou pedir resgate das informações, o vírus foi desenhado para se espalhar e agir rapidamente, abusando da confiança social e automação entre os que usam o aplicativo de mensagens no Windows.
A campanha, segundo os especialistas, é chamada de Water Saci, e o malware usado é conhecido como SORVEPOTEL. Distribuído aos computadores com mensagens de phishing usando arquivos ZIP maliciosos, a iniciativa atinge majoritariamente o Brasil, com poucos casos sendo identificados fora do país.
Os hackers elaboram mensagens convincentes trazendo os arquivos ZIP, fazendo com que o usuário clique e abra o anexo. Na comunicação, é pedido que a vítima abra o arquivo no desktop, sugerindo um interesse maior dos golpistas em invadir empresas e não consumidores. Depois de instalado, o vírus se espalha para basicamente todos os contatos do usuário através do WhatsApp Web.
A carga maliciosa contém um PowerShell, que cria uma URL apontada ao servidor de comando e controle dos hackers. Com Net.WebClient, o script baixa conteúdo do endereço, executado diretamente na memória da vítima via Invoke-Expression.
O arquivo é outro PowerShell que carrega uma DLL .NET, puxando shellcode do servidor malicioso para ser injetada no powershell_ise.exe. O script monitora atividade bancária, apoia a propagação do vírus por WhatsApp e mantém contato com diversos servidores dos golpistas.
As mensagens espalhadas trazem nomes que imitam arquivos verdadeiros, como "COMPROVANTE_20251001_094031.zip", "ComprovanteSantander-75319981.682657420.zip", "NEW-20251001_133944-PED_1273E322.zip” e "ORCAMENTO_114418.zip", também tendo sido vistas em e-mails maliciosos.
Os arquivos contêm um atalho do Windows (.LNK) trazendo o PowerShell, puxando arquivos de domínios como sorvetenopoate[.]com, sorvetenoopote[.]com, etenopote[.]com, expahnsiveuser[.]com, sorv[.]etenopote[.]com e sorvetenopotel[.]com. Isso deu nome à campanha.
Muitas das contas de WhatsApp infectadas acabam sendo banidas do aplicativo devido a spam excessivo, tamanha é a agressividade com que o malware se espalha.
Segundo a Trend Micro, 457 dos 477 casos identificados foram no Brasil, com o estudo da campanha sendo um importante alerta para usuários de todo o mundo. O problema afeta principalmente empresas com políticas BYOD, onde o funcionário traz seu próprio computador para trabalhar.
