Malware – Uma nova campanha de ataques digitais envolvendo o malware conhecido como Sorvepotel tem se espalhado principalmente no Brasil, por meio do WhatsApp Web e por e-mail. O vírus é projetado para vigiar movimentações bancárias das vítimas e roubar credenciais de acesso.
O Sorvepotel é um malware que, em uma das fases do ataque, se comunica com diferentes endereços da web criados a partir da expressão “sorvete no pote”, origem do nome curioso. Algumas empresas de segurança digital também chamam a campanha de “Water Saci”.
LEIA: Número de usuários do Windows 7 triplica com fim do suporte ao Windows 10
A disseminação ocorre, em geral, por meio de um arquivo ZIP compartilhado via WhatsApp. O documento costuma se apresentar como um recibo, comprovante ou orçamento, e em certos casos utiliza temas relacionados à saúde para enganar as vítimas. O e-mail também tem sido usado como canal de infecção.
De acordo com a empresa Trend Micro, o Brasil concentra a maioria absoluta das ocorrências: dos 477 casos mapeados, 457 foram registrados no país.
O que o Sorvepotel faz?
As mensagens que carregam o malware orientam o destinatário a baixar o arquivo em um computador, e não no celular. Dentro do ZIP, há um atalho no formato LNK (utilizado no Windows) que, quando aberto, estabelece conexão com um servidor remoto e executa diversas ações automáticas.
Entre elas, está a capacidade de usar o próprio WhatsApp Web da vítima para se propagar, enviando o arquivo infectado a outros contatos. Essa prática tem feito com que diversos usuários sejam bloqueados pela Meta por comportamento considerado spam.
O falso atalho também baixa um trojan, software que monitora a navegação da vítima e verifica se o usuário acessa sites de bancos ou corretoras de criptomoedas. Segundo a Trend Micro, a lista de possíveis alvos inclui instituições como Banco do Brasil, Bradesco, Caixa, Itaú, Santander, Banestes, Banrisul, Binance, Foxbit, Mercado Bitcoin, entre outras.
Quando detecta o acesso a um desses sites, o trojan executa novas ações, entre elas a exibição de páginas falsas de bancos, com o objetivo de coletar logins e senhas dos usuários.
Como se proteger
A Trend Micro recomenda algumas medidas de precaução. Para o público em geral, a principal é desativar os downloads automáticos do WhatsApp, reduzindo o risco de abrir arquivos contaminados. Também é essencial verificar a origem dos anexos e confirmar a identidade do remetente antes de baixar qualquer conteúdo.
Como a maior parte dos ataques ocorre em computadores, especialistas acreditam que empresas e ambientes corporativos sejam os principais alvos. Por isso, as recomendações também se estendem ao setor empresarial.
Entre as boas práticas, estão bloquear o envio e recebimento de arquivos por aplicativos pessoais como WhatsApp, Telegram e WeTransfer, além de adotar políticas de segurança em dispositivos próprios dos funcionários (BYOD). Também é indicado implementar conteinerização, proibir o uso de apps não autorizados e educar equipes sobre os riscos de abrir anexos desconhecidos.
(Com informações de TecnoBlog)
(Foto: Reprodução/Freepik/DC Studio)
