Pesquisadores detectam campanha massiva de malware — apelidada Water Saci — que usa WhatsApp Web para se propagar automaticamente e atinge majoritariamente computadores no Brasil. Especialistas alertam para risco elevado em empresas com políticas BYOD.
Pesquisadores da Trend Micro Research investigam uma campanha de malware agressiva que explora o WhatsApp Web para infectar computadores com Windows. Batizada pelos analistas como Water Saci — enquanto o malware em si é identificado como SORVEPOTEL — a operação não tem como principal objetivo o roubo imediato de arquivos ou pedidos de resgate: seu foco é propagação rápida e automação, aproveitando a confiança entre contatos e processos corporativos.
Como funciona a infecção
A campanha começa com mensagens de phishing que trazem anexos ZIP maliciosos — arquivos que imitam comprovantes, orçamentos ou documentos empresariais (ex.: COMPROVANTE_20251001_094031.zip, ORCAMENTO_114418.zip). Ao abrir o anexo no desktop, o usuário aciona um atalho (.LNK) do Windows que executa um script PowerShell. Esse script:
- cria conexões com um servidor de comando e controle dos invasores (C2);
- baixa conteúdo que é executado diretamente na memória via
Invoke-Expression; - carrega uma DLL .NET e injeta shellcode no processo
powershell_ise.exe; - monitora atividades (como operações bancárias) e automatiza a propagação para contatos via WhatsApp Web.
Os domínios usados pelos invasores — muitos com nomes que remetem a “sorvete no pote” (por isso o apelido da campanha) — incluem variações como sorvetenopoate[.]com, sorvetenopotel[.]com e expahnsiveuser[.]com.
Alvo principal: empresas com BYOD
A Trend Micro informou que 457 dos 477 casos identificados ocorreram no Brasil. O padrão indica forte interesse dos atacantes em ambientes corporativos, especialmente em empresas com políticas BYOD (bring your own device) — onde funcionários usam computadores pessoais para tarefas de trabalho e, frequentemente, conectam o WhatsApp Web para comunicação.
Segundo os pesquisadores, as mensagens maliciosas também foram vistas em campanhas de e-mail, o que sugere um esforço coordenado para atingir vítimas por múltiplos vetores.
Consequências e comportamento do malware
Além de permitir o monitoramento e execução remota de comandos, a agressividade da propagação levou muitas contas do WhatsApp a serem banidas por envio massivo de spam. A iniciativa evidencia um modelo de ameaça que prioriza alcance e automação, com potencial para causar interrupções em cadeias internas de comunicação e comprometer credenciais e acesso a sistemas sensíveis.
Recomendações imediatas (usuários e empresas)
Para usuários e equipes de TI:
- Não abra anexos ZIP ou atalhos (.LNK) recebidos por mensagem, especialmente se vierem de números desconhecidos ou com contexto estranho;
- Atualize o Windows, antivírus e ferramentas de proteção de endpoint; mantenha o PowerShell configurado com políticas de execução restritivas;
- Ao usar WhatsApp Web em máquinas corporativas, prefira dispositivos gerenciados e políticas que bloqueiem acessos não autorizados;
- Habilite autenticação multifator (MFA) sempre que possível;
- Em caso de suspeita de infecção, desconecte o dispositivo da rede e acione a equipe de segurança para análise;
- Eduque colaboradores sobre engenharia social e phishing — campanhas com anexos aparentes de comprovantes bancários são isca recorrente.
Siga o Jovem na Mídia nas redes sociais do Instagram e Facebook para não perder nada!
Para empresas com BYOD:
- Implementar políticas que restrinjam o uso de contas pessoais em máquinas corporativas;
- Adotar soluções de EDR/XDR que detectem comportamentos anômalos (injeção de código, execução de scripts em memória);
- Monitorar tráfego de saída para domínios suspeitos e bloquear domínios identificados pelos pesquisadores;
- Realizar varreduras e auditorias periódicas em endpoints e revisar configurações de segurança do PowerShell e do Windows Defender.
Por que é preocupante
Diferente de campanhas que visam extorsão imediata, o SORVEPOTEL prioriza velocidade e automação, transformando contas de usuários em vetores de distribuição. Esse tipo de ameaça pode causar efeitos em cascata dentro de redes corporativas e impactar processos bancários e administrativos caso o monitoramento de credenciais se concretize.
O que dizem os especialistas
A Trend Micro Research destaca a sofisticação da cadeia de ataque — uso de scripts em memória, DLLs .NET e injeção em processos legítimos — e recomenda atenção reforçada no cenário corporativo. Autoridades em segurança digital alertam que campanhas assim podem evoluir rapidamente, adicionando payloads para roubo financeiro ou ransomware.
Para veículos: dados técnicos (box para edição técnica)
- Nome da campanha: Water Saci
- Malware: SORVEPOTEL
- Vetor de entrada: arquivos ZIP com atalhos (.LNK) que executam PowerShell
- Técnicas observadas: download de shellcode, injeção em
powershell_ise.exe, execução em memória (fileless), comunicação com servidores C2 - Países afetados (relatório Trend Micro): Brasil é o principal alvo (≈ 457/477 casos), casos isolados em outros países
