Uma nova campanha de disseminação do malware Sorvepotel tem se espalhado principalmente no Brasil, utilizando o WhatsApp para computador e o email como principais canais de ataque. O programa malicioso tem como objetivo espionar atividades bancárias e roubar senhas de acesso das vítimas.
O Sorvepotel é um malware — termo usado para designar softwares criados com intenções maliciosas. Durante o ataque, o programa se conecta a vários domínios na internet que fazem referência à expressão “sorvete no pote”, origem do seu nome curioso. Algumas empresas de cibersegurança também se referem à mesma campanha como Water Saci.
A infecção ocorre, em geral, por meio de arquivos ZIP enviados via WhatsApp. Esses arquivos se passam por recibos, comprovantes, orçamentos ou até documentos médicos, induzindo o usuário a abri-los. O email também é utilizado como vetor de disseminação. De acordo com a Trend Micro, o Brasil concentra a quase totalidade dos casos identificados: 457 de 477 ocorrênciasregistradas até o momento.
Como o Sorvepotel atua?
As mensagens que carregam o malware costumam recomendar que o anexo seja baixado em um computador, e não no celular. Dentro do arquivo ZIP há um atalho no formato LNK, usado pelo Windows, que, ao ser executado, conecta o computador a um servidor remoto. A partir daí, o malware realiza diversas ações:
- Replica a mensagem maliciosa no WhatsApp Web, enviando o mesmo arquivo para outros contatos;
- Baixa um trojan capaz de monitorar a navegação da vítima, identificando quando ela acessa sites de bancos ou plataformas de criptomoedas;
- Exibe páginas falsas para roubar credenciais e dados financeiros.
Entre os alvos monitorados estão instituições como Banco do Brasil, Bradesco, Caixa, Itaú, Santander, Banestes, Banrisul, além de corretoras como Binance, Foxbit e Mercado Bitcoin. A Trend Micro recomenda algumas práticas para evitar a infecção: desativar o download automático de arquivos no WhatsApp; evitar abrir anexos de remetentes desconhecidos; verificar a autenticidade de mensagens suspeitas.
Como a campanha tem atingido principalmente computadores corporativos, empresas devem redobrar a atenção. Entre as medidas preventivas estão: restringir o envio e o recebimento de arquivos por aplicativos pessoais como WhatsApp, Telegram e WeTransfer; implementar políticas de segurança em dispositivos BYOD (traga seu próprio dispositivo); orientar colaboradores sobre os riscos de abrir arquivos desconhecidos e manter os sistemas sempre atualizados. Fonte: https://engenhariae.com.br, com informações da Trend Micro e Tecnoblog.
