Pesquisadores de segurança cibernética emitiram um alerta sobre uma nova evolução de ataques digitais que usam o WhatsApp como principal meio de disseminação.
A ameaça foi identificada pela empresa de cibersegurança Trend Micro e tem como alvo principal usuários brasileiros, com foco no roubo de senhas bancárias e dados sensíveis. Segundo a análise, há fortes indícios de uso de inteligência artificial (IA) para tornar o golpe mais sofisticado e difícil de detectar.
A investigação aponta que os criminosos atualizaram um malware já conhecido, chamado Sorvepotel, detectado inicialmente em outubro. A nova versão mantém a mesma lógica de propagação, mas apresenta avanços técnicos significativos que ampliam o alcance do ataque e aumentam sua taxa de sucesso.
WhatsApp vira porta de entrada para o golpe
Assim como na campanha original, o ataque se espalha por meio do WhatsApp Web. Após a infecção inicial, o malware assume o controle da conta da vítima e passa a enviar automaticamente arquivos maliciosos para os contatos, o que acelera a disseminação.
A Trend Micro destaca que não há exploração de falhas de segurança no WhatsApp. O golpe se baseia na confiança do usuário e no uso cotidiano da plataforma. As mensagens costumam simular situações comuns, como envio de comprovantes de pagamento, orçamentos ou documentos profissionais, acompanhadas de frases como “tenta abrir no computador”.
Ao abrir o arquivo no PC, a vítima acaba executando o código malicioso.
Indícios de uso de inteligência artificial
De acordo com os pesquisadores, a principal mudança está no fato de o malware ter sido reescrito em Python, linguagem diferente da usada anteriormente. Para a Trend Micro, há “fortes indícios circunstanciais” de que ferramentas automatizadas baseadas em IA, como modelos de linguagem ou tradutores de código, tenham sido utilizadas nesse processo.
Entre os sinais que levantaram suspeitas estão:
- melhor organização e aparência do código;
- uso incomum de emojis na programação;
- rapidez no desenvolvimento da nova versão;
- manutenção de funções muito semelhantes à versão anterior;
- compatibilidade com um número maior de navegadores;
- maior agilidade no envio automático de mensagens.
Esses fatores indicam um processo de adaptação acelerado, típico do uso de ferramentas automatizadas.
Como o Sorvepotel infecta o computador
Após a execução do arquivo, o computador passa a operar como um “zumbi”, recebendo comandos remotos dos criminosos. O ataque segue um padrão bem definido:
- envio de arquivos que se passam por documentos legítimos, geralmente nos formatos ZIP, PDF ou HTA;
- execução do arquivo pela vítima;
- conexão com servidores controlados pelos hackers;
- download de um instalador que implanta o vírus bancário;
- coleta de informações do sistema, como idioma, antivírus instalado e hábitos de navegação;
- criação de páginas falsas de bancos;
- captura de senhas digitadas e de imagens da tela.
O malware também analisa pastas e o histórico de navegação em busca de termos relacionados a instituições financeiras. Segundo a Trend Micro, isso se conecta a uma particularidade do Brasil, o uso frequente de módulos de segurança bancária, o que facilita a identificação do banco utilizado pela vítima.
Risco de bloqueio da conta no WhatsApp
Além do roubo de credenciais bancárias, há outro impacto relevante. Como a conta infectada passa a enviar mensagens em massa, o WhatsApp pode interpretar a atividade como spam, resultando no bloqueio ou até no banimento da conta da vítima.
Os pesquisadores alertam que, embora o foco pareça ser computadores corporativos, muitos casos ocorrem quando funcionários acessam contas pessoais do WhatsApp Web em máquinas de trabalho.
Como se proteger
A Trend Micro recomenda medidas preventivas para usuários e empresas, como:
- desativar downloads automáticos no WhatsApp;
- evitar abrir arquivos recebidos sem confirmação prévia;
- restringir downloads em computadores corporativos;
- promover treinamentos de conscientização digital;
- confirmar a legitimidade de documentos por outros canais antes de abri-los.
