Usuários brasileiros têm sido alvo de um novo malware autopropagável denominado SORVEPOTEL, que se dissemina através do WhatsApp. A campanha, batizada de Water Saci pela Trend Micro, explora a confiança dos usuários na plataforma de mensagens para expandir seu alcance em sistemas Windows. Diferentemente de ataques tradicionais focados em roubo de dados ou ransomware, esta ameaça foi projetada prioritariamente para velocidade e propagação em massa.
O ataque se inicia com mensagens de phishing enviadas de contatos já comprometidos no WhatsApp, conferindo credibilidade à comunicação. As mensagens contêm anexos em formato ZIP que se passam por recibos ou arquivos relacionados a aplicativos de saúde. Há evidências de que os operadores da campanha também utilizam e-mails de endereços aparentemente legítimos para distribuir os arquivos maliciosos. Uma característica interessante é que as mensagens orientam os usuários a abrirem o arquivo em desktop, sugerindo que os atacantes podem estar mais interessados em comprometer empresas do que consumidores finais.
Ao abrir o anexo, a vítima aciona um arquivo de atalho do Windows que executa silenciosamente um script PowerShell, baixando o payload principal de servidores externos. O malware estabelece persistência no sistema copiando-se para a pasta de inicialização do Windows e executa comandos que se conectam a servidores de comando e controle para buscar instruções adicionais. Uma vez instalado, se o malware detecta que o WhatsApp Web está ativo no sistema infectado, ele automaticamente distribui o arquivo ZIP malicioso para todos os contatos e grupos da conta comprometida da vítima, permitindo propagação rápida e em larga escala.
Das 477 infecções identificadas, 457 estão concentradas no Brasil, afetando principalmente entidades dos setores governamental, serviços públicos, manufatura, tecnologia, educação e construção. A propagação automatizada resulta em alto volume de mensagens de spam, frequentemente levando à suspensão ou banimento das contas por violação dos termos de serviço do WhatsApp. Atualizações posteriores da Trend Micro revelaram que o payload baixado do servidor inclui um componente shellcode capaz de monitorar atividades bancárias, verificando URLs de navegadores contra uma lista de 65 instituições financeiras da América Latina, particularmente brasileiras. Entre os alvos notáveis estão Banco do Brasil, Bradesco, Binance, Caixa Econômica Federal, Itaú Unibanco, Mercado Pago, Banco do Nordeste, Santander e Sicredi. O malware pode capturar telas, registrar teclas digitadas, criar sobreposições falsas de alertas de segurança bancária e páginas de phishing para roubar credenciais e tokens de autenticação.
Este post foi traduzido e resumido a partir de sua versão original com o uso de IA, com revisão humana.
Com informações de The Hacker News