Nos últimos dias, pesquisadores da Trend Micro e do The Record revelaram uma campanha de malware inédita em escala e criatividade, e com foco direto no Brasil.
Batizada de Water Saci, a operação utiliza o malware SORVEPOTEL para se espalhar de forma auto replicante via WhatsApp Web, atingindo usuários corporativos de Windows e explorando uma das ferramentas de comunicação mais populares do país.
Mais do que um ataque de engenharia social, trata-se de um experimento bem-sucedido de automação social, em que o elo humano e o software de comunicação se tornam, juntos, o vetor da infecção.
Como o ataque funciona
Tudo começa com uma mensagem aparentemente legítima enviada por um contato real, cuja máquina já foi comprometida.
O conteúdo vem acompanhado de um arquivo ZIP com nomes corriqueiros como “comprovante”, “formulário” ou “dados do RH”. Ao ser aberto, o arquivo executa scripts maliciosos que instalam o SORVEPOTEL no sistema e criam mecanismos de persistência múltiplos, mantendo o controle mesmo após reinicializações.
A partir daí, o malware:
- Monitora sessões ativas do WhatsApp Web;
- Reenvia automaticamente o mesmo arquivo infectado a contatos e grupos, simulando mensagens humanas;
- Rouba credenciais bancárias, corporativas e de navegador;
- E utiliza um canal de comando e controle via e-mail, permitindo que os operadores coordenem ataques em tempo real, um método incomum, que ajuda a driblar bloqueios de rede.
Segundo os analistas, o Brasil é o epicentro da campanha, com registros de infecção em governos locais, bancos, empresas de tecnologia, manufatura e até instituições de ensino.
Por que esse ataque é tão eficaz?
O sucesso do Water Saci expõe um ponto crítico da cultura digital brasileira: o uso massivo do WhatsApp em ambientes de trabalho.
Quando o aplicativo se integra ao navegador, abre-se uma brecha perigosa, afinal, ele conecta a máquina corporativa à rede pessoal do colaborador.
Essa fronteira borrada entre o pessoal e o profissional cria o cenário ideal para ataques de confiança: as vítimas acreditam nas mensagens porque vêm de pessoas conhecidas, e a infecção se espalha em questão de minutos.
Diferentemente de malwares que dependem de vulnerabilidades técnicas, o SORVEPOTEL se apoia em um ativo muito mais poderoso: a credibilidade social.
O que as empresas devem fazer agora?
A campanha Water Saci não é apenas um alerta; é um sinal de maturidade que precisa chegar às políticas corporativas.
As organizações devem adotar medidas imediatas para mitigar riscos:
- Revisar políticas de uso do WhatsApp corporativo e proibir o compartilhamento de arquivos fora de canais verificados.
- Endurecer navegadores corporativos, isolando o WhatsApp Web e bloqueando downloads automáticos.
- Configurar EDR/MDR com detecção comportamental de scripts, automação de mensagens e tarefas agendadas suspeitas.
- Bloquear execução de arquivos a partir de pastas de download e temporários.
- Realizar treinamentos de phishing realista, com simulações que imitam mensagens internas e de contatos confiáveis.
- Criar runbooks de crise para revogar sessões comprometidas, alertar contatos e restaurar credenciais afetadas.
Lições para o mercado de cibersegurança:
O caso Water Saci mostra que o ponto de convergência entre comportamento humano e infraestrutura digital se tornou o novo campo de batalha.
Malwares modernos não apenas exploram falhas técnicas, mas replicam padrões sociais, enviam mensagens, copiam tons de voz e exploram o imediatismo do trabalho em rede.
Nesse cenário, detecção isolada não basta. É preciso adotar visibilidade unificada, cobrindo dispositivos, identidades, comunicações e fluxos de dados em tempo real.
Esse é o tipo de abordagem que a M3Corp e seus parceiros tecnológicos defendem: segurança que integra endpoint, identidade e comportamento, sem depender apenas da reação humana.
O Water Saci é mais do que um novo malware, é um lembrete de que a cultura digital brasileira precisa evoluir junto com a sofisticação das ameaças.
Empresas de todos os portes devem repensar como tratam ferramentas populares como o WhatsApp, e os líderes de TI precisam encarar a comunicação cotidiana como parte essencial da superfície de ataque.
A M3Corp acompanha de perto essas transformações, conectando parceiros às soluções que protegem dispositivos, pessoas e comunicações em um mundo cada vez mais interconectado.
Fontes
Trend Micro Research — Self-Propagating Malware Spreading Via WhatsApp, Targets Brazilian Users (04 out 2025).
Trend Micro Research — Active Water Saci Campaign Spreading Via WhatsApp: Multi-Vector Persistence and Sophisticated Email-based C&C (atualização; há 4 dias).
The Record by Recorded Future — New malware leverages WhatsApp to target Brazilian government and businesses (06 out 2025).
Dark Reading — Self-Propagating Malware Hits WhatsApp Users in Brazil (06 out 2025).
The Hacker News — Researchers Warn of Self-Spreading WhatsApp Malware Named SORVEPOTEL (03 out 2025).
SC Media (SC World) — Water Saci SORVEPOTEL backdoor self-propagates through WhatsApp contacts (28 out 2025).
Tribunal de Justiça de Sergipe — Alerta de segurança e orientações sobre vírus Sorvepotel (WhatsApp Web) (14 out 2025).
CNN Brasil — Sorvepotel: entenda o novo golpe do WhatsApp e veja como se prevenir (09 out 2025).
Posts recentes
