Investigadores da Trend Micro identificaram uma nova campanha de malware nomeada de Water Saci que se está a espalhar rapidamente pelo WhatsApp, afetando sobretudo utilizadores no Brasil. Batizado de SORVEPOTEL, o código malicioso utiliza mensagens de phishing para infectar computadores com Windows e, em seguida, propaga-se automaticamente pela versão web da aplicação, resultando no bloqueio automático das contas envolvidas.
Segundo os especialistas, o SORVEPOTEL foi criado com foco na propagação em massa, e não em roubo de dados ou extorsão. Como avança o The Hacker News, ele difunde-se através de ficheiros ZIP maliciosos, enviados em mensagens falsas que simulam recibos ou documentos médicos. Ao abrir o anexo num computador, o utilizador executa inadvertidamente um atalho que ativa um código responsável por descarregar o malware principal de um servidor remoto.
Como o malware atua
Depois de instalado, o SORVEPOTEL cria um mecanismo de persistência no sistema, garantindo que é executado sempre que o Windows é iniciado.
De seguida, o programa verifica se o WhatsApp Web está ativo e envia automaticamente o mesmo ficheiro ZIP malicioso para todos os contactos e grupos da vítima, o que leva à suspensão da conta por envio excessivo de mensagens (spam).
A Trend Micro destaca que a maioria dos 477 casos detetados ocorreu no Brasil, afetando setores como governo, serviços públicos, indústria, tecnologia, educação e construção civil.
Embora não haja indícios de roubo de dados pessoais ou encriptação de ficheiros, o ataque mostra uma tendência preocupante: os cibercriminosos estão a explorar plataformas populares de comunicação para maximizar o alcance com o mínimo de interação.
“Essa disseminação automatizada resulta num volume muito alto de mensagens e frequentemente leva à suspensão das contas devido à violação dos termos de serviço do WhatsApp.”
- Trend Micro.
Recomendações de segurança
A Trend Micro divulgou um conjunto de recomendações para reduzir os riscos de infeção associados à campanha Water Saci:
- Desative as transferências automáticas no WhatsApp: nas definições da aplicação, desative o download automático de multimédia e documentos. Esta medida impede que ficheiros maliciosos sejam descarregados sem o seu conhecimento.
- Restrinja o envio de ficheiros em aplicações pessoais: as empresas devem implementar políticas de segurança que bloqueiem ou limitem a partilha de ficheiros através de aplicações como WhatsApp, Telegram ou WeTransfer em dispositivos corporativos.
- Reforce a formação e a sensibilização dos utilizadores: como o principal alvo da campanha parece ser o setor empresarial, é fundamental promover formações regulares em cibersegurança. Os colaboradores devem ser instruídos a não abrir anexos nem links inesperados e a utilizar canais oficiais e seguros para o envio e partilha de documentos corporativos.
