Um novo golpe utilizando arquivos zip maliciosos está se espalhando pelo WhatsApp no Brasil, infectando computadores e clonando contas para roubar dados pessoais. Identificado como “Sorvepotel” pela empresa de cibersegurança Trend Micro, o malware já registrou 477 casos, sendo 457 no país. As vítimas recebem mensagens de contatos confiáveis com anexos zip que, ao serem abertos, ativam o vírus. O ataque visa propagar-se rapidamente por grupos e contatos no WhatsApp Web.
O golpe explora a confiança dos usuários em mensagens de contatos conhecidos, que contêm arquivos com nomes como “COMPROVANTE_20251001_094031.zip”. Além do WhatsApp, e-mails falsos também disseminam o malware, utilizando remetentes falsificados. A campanha tem como alvo principal sistemas Windows, onde o vírus se instala e opera em segundo plano. O Brasil lidera os casos devido à alta adesão ao WhatsApp na comunicação diária.
- Arquivos zip simulam comprovantes ou orçamentos.
- Malware usa WhatsApp Web para enviar mensagens automáticas.
- Contas infectadas enfrentam suspensão por spam.
Como o vírus funciona
O malware se ativa quando o usuário abre o arquivo zip, que contém um atalho (.LNK) capaz de executar comandos no Windows. Esses comandos baixam scripts maliciosos de servidores remotos, garantindo a persistência do vírus. O programa se reinstala automaticamente a cada inicialização do computador, dificultando sua remoção por antivírus básicos.
Propagação em massa no WhatsApp
O Sorvepotel utiliza sessões ativas do WhatsApp Web para enviar o arquivo zip a todos os contatos e grupos da vítima. Isso transforma contas comprometidas em vetores de propagação em massa. A velocidade de disseminação levou a suspensões frequentes de contas por atividades de spam. O golpe não exige interação direta com os arquivos para se espalhar, ampliando seu alcance.
Táticas usadas pelos criminosos
Os golpistas utilizam mensagens genéricas, sem citar nomes, mas com números de telefone conhecidos. E-mails falsos imitam bancos, como “ExtratoBradesco.zip”, para enganar as vítimas. A técnica de “typosquatting” cria domínios falsos semelhantes a sites legítimos. Os arquivos zip têm nomes que sugerem urgência ou legitimidade, como orçamentos.
Riscos para os dados pessoais
Embora não haja evidências de criptografia de arquivos ou roubo financeiro direto, especialistas alertam para o risco de coleta de dados sensíveis. Golpes similares já tentaram acessar informações bancárias no Brasil. O malware pode evoluir para incluir outras funções maliciosas, como keyloggers.
Medidas de proteção contra o golpe
Para evitar o vírus, desative downloads automáticos no WhatsApp e evite abrir anexos de contatos, mesmo conhecidos. Empresas devem restringir transferências de arquivos em dispositivos corporativos e treinar funcionários. Use canais oficiais para documentos e verifique mensagens estranhas, especialmente com números de telefone sem nomes.
Identificação de mensagens suspeitas
Mensagens do golpe não personalizam o destinatário, usando apenas números. Contatos de empresas, como academias ou lojas, são frequentemente explorados, pois possuem cadastros roubados. Verificar a origem da mensagem e evitar abrir anexos desconhecidos são passos essenciais para proteção.