Apelidado de Sorvepotel, vírus usa arquivos ZIP para infectar PCs, sequestra a sessão do WhatsApp Web e tenta roubar credenciais — inclusive bancárias. Veja como funciona e o que fazer para não cair no golpe.
Um malware batizado de Sorvepotel tem como principal alvo o Brasil e se espalha por mensagens no WhatsApp (sobretudo no WhatsApp Web). Pesquisas independentes descrevem um ataque autopropagante: a vítima recebe um arquivo ZIP de um contato real já comprometido; dentro há um atalho (.LNK) que, quando aberto no Windows, instala o código malicioso. A partir daí, o malware passa a reenviar o mesmo ZIP para contatos e grupos e pode coletar credenciais, como logins bancários e dados sensíveis de navegação. Em levantamentos técnicos recentes, a grande maioria dos centenas de casos confirmados ocorreu no Brasil.
No Espírito Santo, o Tribunal de Justiça (TJES) divulgou alerta e adotou bloqueios preventivos para reduzir o risco em suas redes, reforçando a orientação para que usuários não abram anexos ZIP recebidos por WhatsApp sem confirmação prévia.
Como o golpe acontece (em 4 passos)
Você recebe, no WhatsApp (normalmente via Web), uma mensagem com ZIP enviado por um contato conhecido, sugerindo ser “comprovante”, “formulário” ou similar.
Dentro do ZIP há um atalho (.LNK) que dispara um script e instala o malware no Windows.
O Sorvepotel assume sua sessão do WhatsApp Web e espalha novos ZIPs automaticamente, o que pode resultar até em banimento por spam.
Em segundo plano, tenta coletar credenciais e monitorar a navegação com foco em fraudes financeiras.
Como se proteger (checklist prático)
Desconfie de ZIPs e atalhos (.LNK) — mesmo que venham de alguém conhecido. Confirme por áudio/telefone antes de abrir.
Evite abrir anexos no computador. Se for indispensável visualizar, prefira o celular e não extraia ZIP desconhecido no Windows.
Mantenha Windows, navegadores e antivírus atualizados, com proteção em tempo real habilitada.
Ative a verificação em duas etapas (2FA) no WhatsApp, e também em banco e e-mail.
Treine equipes e limite o WhatsApp Web em máquinas críticas no ambiente de trabalho.
Recebeu um ZIP suspeito?
Não abra. Confirme com o remetente por outro canal. Se ele não souber do envio, avise que a conta pode estar comprometida.
Acha que foi infectado?
Desconecte o WhatsApp Web em todos os dispositivos (App > Dispositivos conectados > “Sair de todos”).
Desligue a internet do PC e troque senhas (banco, e-mail, WhatsApp) de um dispositivo limpo, ativando 2FA.
Rode varredura completa com antivírus atualizado; se possível, use ferramenta de remoção do seu fornecedor de segurança.
Avise seus contatos para ignorarem anexos enviados por você recentemente.
Em empresas/órgãos públicos, notifique a TI. O caso pode envolver dados sensíveis e exigir medidas adicionais.
Por que o Brasil é o alvo principal?
Especialistas apontam que a campanha (também referida como “Water Saci”) prioriza escala e velocidade, explorando a confiança entre contatos e a facilidade de execução no Windows. As amostras e telemetrias disponíveis indicam concentração dos incidentes no país, com impactos em setores públicos e privados.
Leitura adicional e referências
Análises técnicas e alertas recentes: The Hacker News, Trend Micro, Dark Reading, The Record, e veículos locais (A Gazeta; TJES).
Se quiser, entrego agora uma versão carrossel (6–8 cards) para Instagram com: título, como age, sinais de alerta, “não faça”, “faça”, e “o que fazer se cair”. Também preparo uma nota curta para Telegram/WhatsApp.
