Malware se dissemina por ZIPs via phishing, aciona PowerShell por atalho .LNK e replica mensagens pelo WhatsApp Web.

Um novo malware apelidado de “Sorvepotel” tem ganhado destaque nas redes sociais no Brasil. Segundo pesquisadores da Trend Micro Research, o vírus é agressivo e se aproveita do WhatsApp Web para infectar computadores, priorizando velocidade de propagação em vez de roubo de dados ou pedido de resgate. A ação explora confiança social e automação entre usuários do aplicativo no Windows.

A distribuição ocorre por phishing com arquivos ZIP maliciosos, e os casos se concentram majoritariamente no Brasil, com poucos registros fora do país. Os golpistas enviam mensagens convincentes e orientam a abrir o anexo no desktop, sinalizando interesse especial em ambientes corporativos. Depois que a vítima clica no ZIP e executa a instalação, o malware se espalha para praticamente todos os contatos do usuário por meio do WhatsApp Web.

Dentro do pacote, há scripts capazes de monitorar atividade bancária, sustentar a propagação via WhatsApp e manter contato com múltiplos servidores controlados pelos criminosos. Os arquivos disseminados imitam documentos legítimos, com nomes como “COMPROVANTE_20251001_094031.zip”, “ComprovanteSantander-75319981.682657420.zip”, “NEW-20251001_133944-PED_1273E322.zip” e “ORCAMENTO_114418.zip”, também vistos em e-mails maliciosos.

Os ZIPs carregam atalhos do Windows (.LNK) que invocam o PowerShell para baixar componentes de domínios como sorvetenopoate[.]com, sorvetenoopote[.]com, etenopote[.]com, expahnsiveuser[.]com, sorv[.]etenopote[.]com e sorvetenopotel[.]com — referência que batizou a campanha. Em muitos casos, contas de WhatsApp infectadas acabam banidas pelo aplicativo devido ao spam massivo.

Como se proteger? A orientação segue a regra básica: não clique em links ou anexos enviados por desconhecidos, seja por e-mail ou WhatsApp. A cautela ao abrir arquivos ZIP e a verificação da origem das mensagens são passos essenciais para evitar a infecção.