Resumo
- O Sorvepotel é um malware que simula arquivos legítimos para monitorar atividades financeiras e roubar senhas, principalmente no Brasil.
- O malware é distribuído via WhatsApp e email, disfarçado como arquivos ZIP que parecem ser recibos, comprovantes ou documentos de saúde.
- Ao ser executado, o malware replica mensagens no WhatsApp Web e baixa um trojan que monitora acessos a sites bancários, exibindo páginas falsas para capturar dados.
Uma campanha envolvendo o malware Sorvepotel está ocorrendo principalmente no Brasil, com distribuição via WhatsApp no computador e também via email. O programa malicioso visa monitorar atividades bancárias das vítimas e roubar senhas.
O que é o Sorvepotel?
O Sorvepotel é um malware, nome dado a um programa com fins escusos. Em uma das fases do ataque, ele se conecta a diversos endereços da web derivados da expressão “sorvete no pote” — daí o seu nome. Empresas de cibersegurança também atribuíram o nome “Water Saci” à campanha.
Essa campanha tem distribuído o programa por meio de um arquivo ZIP enviado por WhatsApp. Esse arquivo geralmente se passa por um recibo, comprovante ou orçamento. Em alguns casos, o disfarce é relacionado à saúde. O email pode ser outro vetor de contaminação.
O Brasil é a principal vítima do Sorvepotel. Segundo a Trend Micro, dos 477 casos identificados até o momento, 457 estão no país.
O que o Sorvepotel faz?
A mensagem recomenda baixar o anexo em um computador e não no celular. Ao abrir o ZIP, há um atalho (no formato LNK, que funciona no Windows) que, quando executado, faz o dispositivo se conectar a um servidor externo e realizar diversas atividades.
Uma delas é usar o próprio WhatsApp Web para replicar a mensagem e enviar o arquivo ZIP para mais pessoas. Em alguns casos, os usuários vêm sendo banidos pelo mensageiro da Meta por envio de spam.
Outra atividade do falso atalho é baixar um trojan, que monitora a atividade do navegador da vítima e checa se o usuário está acessando o site de um banco ou de uma empresa de criptomoedas.
A lista compartilhada pela Trend Micro, que vem investigando o caso, inclui nomes diversos, como BB, Bradesco, Caixa, Itaú, Santander, Banestes, Banrisul, Binance, Foxbit, Mercado Bitcoin e muitos outros.
Caso detecte o acesso a um dos endereços, o trojan dá mais um passo e ganha a capacidade de executar mais tarefas no computador infectado. O objetivo é interferir no acesso e exibir páginas falsas do banco da vítima, visando roubar dados de acesso.
O que fazer para se proteger?
A Trend Micro dá algumas sugestões de como se defender da ameaça. Para usuários comuns, a principal atitude é desligar os downloads automáticos do WhatsApp, como forma de reduzir a exposição acidental a arquivos maliciosos. Desconfiar dos anexos enviados e checar os remetentes também são boas práticas.
Como a campanha se dá principalmente entre computadores, acredita-se que o mercado corporativo seja o principal alvo dos criminosos. Por isso, muitas recomendações são voltadas a empresas.
Uma delas é bloquear ou restringir a transferência de arquivos por aplicativos pessoais, como WhatsApp, Telegram ou WeTransfer. Caso a empresa tenha uma política de BYOD (traga seu próprio dispositivo), é importante implementar conteinerização para proteger ambientes sensíveis ou proibir o uso de determinados aplicativos, além de alertar os funcionários sobre os riscos envolvendo o download de arquivos recebidos.
Com informações da Trend Micro
Sorvepotel: o que é o vírus que vem atacando o WhatsApp no Brasil?
