O Brasil se tornou o principal alvo de uma nova campanha de malware em massa, que utiliza arquivos ZIP infectados para enganar usuários do WhatsApp.
O ataque, identificado pela empresa de cibersegurança Trend Micro como “Sorvepotel”, já contabiliza 477 casos confirmados, sendo 457 deles no país. O objetivo dos criminosos é propagar rapidamente o vírus entre contatos e grupos do aplicativo.
LEIA MAIS:
- Criança autista será indenizada após maus-tratos em clínica
- Identificado homem morto em churrasco de família
- Corpo é encontrado com marcas de tiros em estrada
Segundo o portal TecnoMundo, o golpe começa quando a vítima recebe uma mensagem de phishing enviada por um contato já infectado. A mensagem contém um arquivo ZIP malicioso, com nomes sugestivos como “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”, que simulam comprovantes de pagamento ou orçamentos comerciais.
Ao abrir o arquivo no computador, especialmente em sistemas Windows, o malware é ativado automaticamente. A Trend Micro identificou também e-mails falsos que estão sendo usados para distribuir o vírus ZIP, com anexos como:
COMPROVANTE_20251001_094031.zip
ComprovanteSantander-75319981.682657420.zip
DocumentoRafaelB.zip
ExtratoBradesco.zip
Esses e-mails utilizam endereços de remetentes falsos e assuntos aparentemente legítimos para convencer a vítima a abrir o arquivo.
Ao acessar o conteúdo do ZIP, o usuário encontra um atalho (.LNK) que executa comandos ocultos no Windows, baixando o malware principal de servidores controlados pelos criminosos.
O vírus instala scripts em lote que garantem sua reativação toda vez que o computador é ligado, o que o torna difícil de remover com antivírus comuns.
Depois de ativo, o malware detecta sessões abertas do WhatsApp Web e passa a enviar automaticamente o mesmo arquivo ZIP para todos os contatos e grupos da vítima — transformando o perfil em um disseminador do golpe. Como resultado, muitas contas acabam sendo suspensas por spam.
⚠️ Riscos e prevenção
Até o momento, não há indícios de roubo de dados ou criptografia de arquivos, mas especialistas em cibersegurança alertam que ataques parecidos já foram usados no Brasil para roubar informações financeiras.
O “Sorvepotel” também utiliza domínios falsos parecidos com sites legítimos — técnica conhecida como typosquatting — para camuflar sua ação.
Para se proteger, os especialistas recomendam:
Desativar downloads automáticos no WhatsApp;
Evitar abrir anexos ZIP, mesmo que venham de contatos conhecidos;
Restringir o envio de arquivos em dispositivos corporativos;
Verificar sempre o endereço do remetente antes de baixar qualquer anexo;
Usar canais oficiais e seguros para o compartilhamento de documentos.
Além disso, é importante desconfiar de mensagens estranhas, especialmente quando o remetente não menciona seu nome, apenas o número de telefone — um sinal comum de números clonados usados por golpistas.