O Orçamento que Virou Pesadelo Digital

Imagine a cena: você está no meio do expediente, focado em suas tarefas, quando uma notificação surge no seu WhatsApp Web. É de um colega, talvez até do seu chefe, com um arquivo chamado “ORCAMENTO_114418.zip” ou “RES-20250930_112057.zip”. Parece legítimo, urgente e, o mais importante, vem de um contato de confiança. Sem pensar duas vezes, você baixa, extrai e clica. É nesse exato momento que o Saci entra em sua máquina. Não o personagem do folclore, mas uma ameaça digital bem real batizada de Water Saci.

Essa é a porta de entrada para uma sofisticada campanha de malware que, segundo a Trend Research, divisão de pesquisa da Trend Micro, está se alastrando pelo Brasil. A tática é um clássico da engenharia social: explorar a confiança entre contatos para enganar as vítimas. O arquivo ZIP, que parece um inofensivo documento de trabalho, esconde um atalho no formato .LNK. Ao ser executado, ele não abre um orçamento, mas aciona um script em PowerShell que baixa e instala o malware SORVEPOTEL diretamente na memória do computador. A partir daí, a máquina já não é mais exclusivamente sua.

SORVEPOTEL: Uma Praga com Sotaque Brasileiro

Uma vez instalado, o SORVEPOTEL começa seu trabalho silencioso. Ele se conecta a servidores de comando e controle para garantir sua persistência no sistema e receber instruções. Seu nome, aliás, revela a criatividade com um toque local dos seus criadores. A campanha foi apelidada de 'Water Saci' porque o malware se conecta a domínios que são variações da expressão “sorvete no pote”, como “sorvetenopotel.com”, uma técnica de typosquatting para parecerem inofensivos e driblarem filtros de segurança.

O foco da praga é claro: o Brasil. De acordo com o relatório da Trend Micro, dos 477 casos detectados globalmente, impressionantes 457 ocorreram em território brasileiro. O principal objetivo do SORVEPOTEL é se espalhar. Ele verifica se o WhatsApp Web está ativo no computador infectado e, se estiver, assume o controle. Sem qualquer interação do usuário, ele dispara o mesmo arquivo ZIP malicioso para toda a lista de contatos e grupos, transformando cada vítima em um novo vetor de disseminação. A propagação é tão agressiva que, em muitos casos, o próprio WhatsApp acaba bloqueando a conta comprometida por violação dos termos de uso, devido ao alto volume de mensagens automáticas.

Mas a ameaça vai além da simples replicação. Fontes indicam que o SORVEPOTEL também instala um trojan capaz de monitorar a atividade do navegador. Seu interesse é específico: ele vigia acessos a sites de bancos e corretoras de criptomoedas para exibir páginas falsas e roubar credenciais de login, adicionando uma camada de risco financeiro à infecção.

O Alvo: Por que Empresas e Governos Estão na Mira?

Embora qualquer usuário de Windows com WhatsApp Web possa ser uma vítima, a análise da Trend Micro aponta que os alvos principais são os setores corporativo e público. A campanha já deixou rastros em máquinas de órgãos governamentais, empresas de tecnologia, educação, manufatura e construção. A própria natureza do ataque, que exige a execução de um arquivo em um computador, reforça essa hipótese. O uso do WhatsApp Web é uma prática comum em ambientes de trabalho para comunicação rápida, tornando-se um ponto de vulnerabilidade.

Esse cenário é especialmente perigoso em empresas que adotam a política de “traga seu próprio dispositivo” (BYOD), onde as fronteiras entre o uso pessoal e profissional se tornam nebulosas. Um dispositivo pessoal infectado pode se tornar a ponte para comprometer toda a rede corporativa. A campanha também utiliza e-mails com anexos semelhantes e remetentes aparentemente legítimos, como “Comprovante Santander”, diversificando seus métodos de entrada.

Como Não Deixar o Saci Puxar seu Pé (Digital)

Diante da ameaça, a prevenção é a melhor defesa. A Trend Micro recomenda um conjunto de boas práticas para mitigar os riscos:

  • Desative o download automático de arquivos no WhatsApp, principalmente em dispositivos corporativos.
  • Restrinja o uso de aplicativos pessoais, como WhatsApp e Telegram, em computadores de trabalho, ou utilize soluções de containerização para isolar dados sensíveis.
  • Promova treinamentos de segurança para conscientizar as equipes. É fundamental que todos entendam o perigo de abrir anexos inesperados, mesmo que venham de contatos conhecidos.

Procurado, o WhatsApp afirmou estar “sempre trabalhando para tornar a plataforma o lugar mais seguro para a comunicação privada” e reforçou a recomendação básica de segurança digital: “só clique em links ou abra arquivos de pessoas que você conhece e confia”. A campanha Water Saci é um forte lembrete de que, na era digital, a confiança pode ser explorada e o maior risco pode estar a apenas um clique de distância, disfarçado de um simples arquivo de orçamento.