6 de outubro de 2025
Water Saci: golpe mira bancos e corretoras de criptomoedas no
Compartilhe:

O WhatsApp está sendo usado por criminosos em uma campanha de malware no Brasil que se autopropaga. Conhecida como “Water Saci”, a ação utiliza o malware recém-identificado SORVEPOTEL, que se espalha por sistemas Windows por meio de mensagens de phishing convincentes com anexos de arquivos ZIP maliciosos, segundo relatório da Trend Micro. O objetivo é atingir instituições financeiras e corretoras de criptomoedas, incluindo Banco do Brasil, Caixa, Itaú e Bradesco.

Ao contrário dos ataques tradicionais focados em roubo ou ransomware, esta campanha foi projetada para velocidade e propagação, abusando da confiança social e da automação para se espalhar, diz a investigação. “Curiosamente, a mensagem que contém o anexo malicioso exige que os usuários a abram em um desktop, sugerindo que os agentes da ameaça podem estar mais interessados ​​em atingir empresas do que consumidores.”

Mensagem geralmente é enviada de conta pertencente a um amigo ou colega (Imagem: Trend Micro)

Como funciona?

  • A infecção começa com uma mensagem de phishing enviada de uma conta comprometida do WhatsApp — geralmente pertencente a um amigo ou colega — que contém um arquivo ZIP malicioso disfarçado de documento legítimo (por exemplo, “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”);
  • Ao ser aberto, o arquivo revela um atalho malicioso do Windows (.LNK) que executa silenciosamente um script do PowerShell. Esse script baixa e executa payloads adicionais diretamente de domínios controlados pelo invasor, como sorvetenopotel[.]com e expahnsiveuser[.]com;
  • Uma vez implantado, o malware ativa o Maverick.StageTwo e do Maverick.Agent, módulos projetados para roubar credenciais financeiras e monitorar a atividade do usuário;
  • O malware pode criar janelas de sobreposição que aparecem sobre sites bancários legítimos para roubar credenciais de usuários e tokens de autenticação. Ele exibe formulários falsos para senhas, assinaturas eletrônicas ou códigos QR para que pareça integrada ao site real, enquanto captura informações confidenciais do usuário;
  • Os criminosos também monitoram a atividade do usuário para identificar visitas a sites bancários brasileiros específicos utilizando correspondência de domínio e análise de conteúdo HTM;
  • O SORVEPOTEL é capaz de sequestrar sessões ativas do WhatsApp Web em dispositivos infectados. Quando detectado, o malware aproveita essa sessão para distribuir automaticamente o mesmo arquivo ZIP malicioso para todos os contatos e grupos associados à conta comprometida da vítima.
banco falso
Representação do aplicativo bancário Sicoobnet Empresarial (Imagem: Trend Micro)

Leia Mais:

  • Brasil é o 2º país mais atacado por malware em 2025, aponta relatório
  • Link suspeito? Microsoft Teams terá alerta sobre URLs maliciosas
  • 5 malwares que infectam o celular mesmo sem você ter baixado aplicativos

Campanha direcionada

De acordo com a telemetria da Trend Research, a atividade inicial sugere um foco regional no Brasil, com 457 dos 477 casos detectados até agora. A campanha impactou mais organizações governamentais e de serviços públicos, mas também vitimou organizações de manufatura, tecnologia, educação e construção, segundo o relatório.

Para evitar a detecção e manter a persistência, o malware emprega diversas estratégias: utiliza domínios ofuscados e com erros de digitação, como “sorvetenopotel”, que lembra bastante a inofensiva frase brasileira “sorvete no pote”. Essa tática ajuda a infraestrutura maliciosa a se camuflar no tráfego legítimo, diz o documento.

whatsapp web
Campanha abusa da confiança social e da automação para se espalhar (Imagem: Antonio Salaverry/iStock)

Para minimizar os riscos associados à campanha, a Trend recomenda alguns itens práticos de defesa inicial:

  • Desative os downloads automáticos no WhatsApp nas configurações do aplicativo para reduzir a exposição acidental a arquivos maliciosos;
  • Use políticas de segurança de endpoint ou firewall para bloquear ou restringir transferências de arquivos por meio de aplicativos pessoais, como WhatsApp, Telegram ou WeTransfer, em dispositivos gerenciados pela empresa;
  • Recomenda-se que as organizações ofereçam treinamentos regulares de segurança para ajudar os funcionários a reconhecer os perigos de baixar arquivos por meio de plataformas de mensagens, promovendo o uso de canais seguros e aprovados para a transferência de documentos comerciais.

O post Water Saci: golpe mira bancos e corretoras de criptomoedas no Brasil apareceu primeiro em Olhar Digital.

Fonte: https://olhardigital.com.br/2025/10/06/seguranca/water-saci-golpe-mira-bancos-e-corretoras-de-criptomoedas-no-brasil/

VOCÊ PODE TER PERDIDO

Concurso Prefeitura de Aloândia GO divulga 49 vagas de até

Concurso Prefeitura de Senador Canedo (GO) tem 6000 vagas previstas

6 de outubro de 2025
10 mitos sobre a gravidez que você ainda acredita

10 mitos sobre a gravidez que você ainda acredita

6 de outubro de 2025
HBO Max: lançamentos da semana (6 a 12 de outubro)

HBO Max: lançamentos da semana (6 a 12 de outubro)

6 de outubro de 2025
Febraban Tech 2024: como a IA está transformando o setor

IA pode gerar até US$ 1 trilhão ao PIB da América Latina, aponta relatório

6 de outubro de 2025
NOS Alive confirma Nick Cave & The Bad Seeds a

NOS Alive confirma Nick Cave & The Bad Seeds a 9 de Julho de 2026

6 de outubro de 2025
Concurso Prefeitura de Aloândia GO divulga 49 vagas de até

Concurso CRMV GO abre edital com salários de até R$ 11 mil mensais

6 de outubro de 2025