A Tempestade Perfeita no WhatsApp: Como o Vírus ZIP Sequestrou a Comunicação B2B no Brasil

1. A crise do início de outubro: quando a confiança virou fraqueza

Você já recebeu uma mensagem no WhatsApp de um colega de trabalho ou de um contato de confiança com um arquivo ZIP e uma instrução urgente para abri-lo? Confesso que, na correria do dia a dia, é fácil baixar a guarda.

Foi exatamente essa confiança que uma campanha massiva de malware, observada intensamente entre os dias 1º e 4 de outubro de 2025, explorou no Brasil. Esta não foi apenas mais uma tentativa de phishing; foi um ataque coordenado e de alta velocidade que atingiu em cheio os setores de Saúde e Educação, provando que o inimigo cibernético está cada vez mais íntimo de nossas rotinas.

Portanto, este texto vai além do alerta. Ele se propõe a desvendar a anatomia do ataque, batizado de SORVEPOTEL 4, e explicar por que esse tipo de ameaça — que se propaga através da sua rede de contatos mais próxima — pode ser mais destrutiva para uma empresa do que um ransomware clássico.

A boa notícia é que, ao compreendermos o mecanismo, aumentamos drasticamente nossa capacidade de defesa, transformando vulnerabilidade em resiliência. Acompanhe a seguir como o nosso mensageiro favorito virou o vetor de uma epidemia digital — e como podemos nos proteger.

A cibersegurança, muitas vezes, é tratada como um assunto frio, de códigos e servidores. Contudo, este ataque recente nos lembra que, por trás de toda falha de sistema, há uma falha humana — e é nela que o cibercriminoso aposta.

No período crítico de outubro, os alertas vieram em cascata. Entidades de classe e órgãos oficiais emitiram notas urgentes sobre mensagens fraudulentas sendo enviadas por WhatsApp, todas com um denominador comum: um arquivo compactado, geralmente no formato “.zip”.

O modus operandi era notavelmente audacioso. Em vez de enviar a ameaça por e-mail (onde temos filtros mais rígidos), o vetor escolhido foi a ferramenta que usamos tanto para mandar um “bom dia” para a família quanto para fechar um negócio importante: o WhatsApp.

2. O presente de grego: a engenharia social por trás do ZIP

Para que o golpe funcionasse em ambientes corporativos B2B (Business-to-Business), os criminosos precisaram de uma isca convincente. Imagine a cena: você está no meio de um dia corrido, gerenciando pagamentos e documentos de clientes ou fornecedores.

De repente, chega uma mensagem de um contato conhecido, talvez com um nome de arquivo que sugira ser um “recibo pendente” ou um “documento de aplicação médica urgente”. O senso de urgência — ou a relevância imediata para a sua tarefa — é o primeiro gatilho de convencimento.

A isca se tornou ainda mais insidiosa ao usar temas de alta credibilidade. Recebemos relatos de tentativas de fraude que simulavam comunicações de grandes órgãos fiscalizadores federais ou de entidades sindicais, alertando sobre questões como cobranças de taxas sobre transferências financeiras (PIX) ou documentos jurídicos.

Apesar disso, a cereja do bolo da engenharia social era a instrução que vinha junto com o arquivo malicioso, algo como: “Visualização permitida somente em computadores.” Essa frase não é um detalhe; é uma tática brilhante.

Ela força o usuário a transferir o risco do celular (que possui defesas nativas mais robustas contra esse tipo de arquivo) para o desktop do trabalho — tipicamente um sistema operacional Windows — onde a ameaça realmente pode “fazer a festa”. É como se o criminoso dissesse: “Este presente é muito importante para ser aberto em qualquer lugar. Leve-o para a sua sala de estar corporativa.”

3. O vilão da vez: SORVEPOTEL – o verme da proliferação rápida

Quando falamos em malware, a maioria das pessoas pensa em ransomware — aquele que sequestra seus arquivos e cobra um resgate. Mas o SORVEPOTEL 4 tem uma ambição diferente e, de certa forma, mais perigosa para grandes organizações: ele é classificado como um worm autopropagável.

Qual é o objetivo do worm?

Se o ransomware é um assaltante que quer roubar sua carteira (extorsão), o worm é como uma doença altamente contagiosa que não se importa tanto com o que está na carteira, mas sim com a velocidade com que consegue infectar toda a cidade.

O objetivo primário do SORVEPOTEL não é roubar dados nem criptografar arquivos para pedir resgate. Seu foco é a multiplicação incessante. A analogia é simples: ele quer transformar o máximo de endpoints (computadores de mesa ou notebooks) na rede da empresa em máquinas de espalhar mais malware. Portanto, o dano inicial que ele causa é a disrupção operacional.

A máquina de viralização

A forma como o SORVEPOTEL se espalha é aterrorizantemente eficaz. Uma vez que o usuário cai na isca e o malware se instala no computador com Windows, ele imediatamente sequestra a sessão ativa do WhatsApp Web ou do WhatsApp Desktop.

Usando a sua conta autenticada — aquela que todos confiam e veem como um canal legítimo — ele dispara o mesmo arquivo .zip malicioso para todos os seus contatos e grupos.

Pense bem:

• Você confia em uma mensagem de um número desconhecido? Não
• Você confia em uma mensagem de um colega ou de um contato comercial frequente? Sim, muito

Todavia, é justamente essa rede de confiança que é explorada. O malware se alavanca na credibilidade que levamos anos para construir, garantindo uma disseminação exponencial e de alta velocidade.

É a fofoca digital mais tóxica do ano — espalhando-se mais rápido do que qualquer comunicação interna poderia conter.

4. O mapa da mina: como o código malicioso entra no sistema

Eu sempre digo que o ataque mais sofisticado é aquele que usa ferramentas legítimas para fazer o trabalho sujo. O SORVEPOTEL é um mestre nisso.

A cadeia de infecção (a chamada Kill Chain) segue um roteiro de quatro passos, totalmente dependente da sua ação:

1. Desempacotamento: o usuário faz o download e abre o arquivo .zip. Até aqui, a máquina ainda está segura, pois abrir o compactado geralmente não é perigoso por si só
2. A Armadilha: dentro do ZIP, existe um atalho de arquivo — geralmente com a extensão .LNK — disfarçado de documento inofensivo (como um PDF ou DOCX). Ao clicar nesse atalho, ele é o gatilho, não o vírus em si
3. O Funcionário Infiltrado (LotL): a execução do atalho .LNK ativa silenciosamente um script do PowerShell, que é uma ferramenta legítima e poderosa do Windows. O PowerShell — o nosso “funcionário infiltrado” — conecta-se a um servidor de Comando e Controle (C2) externo (como, por exemplo, o domínio sorvetenopoate[.]com) e baixa o componente malicioso principal. O uso do PowerShell (uma tática conhecida como Living Off the Land, ou “Viver da Terra”) é crucial, pois emprega uma ferramenta confiável do sistema, o que facilita o contorno de antivírus tradicionais que buscam apenas executáveis desconhecidos
4. Persistência: o script garante que o malware se estabeleça no sistema, adicionando-se à inicialização automática do Windows. Isso significa que, mesmo que você reinicie a máquina, ele voltará à ativa

O sucesso deste ataque se deve à combinação de confiança (o WhatsApp) com técnicas de evasão (o PowerShell).

Percebemos, como analistas, que a segurança de perímetro (a entrada na rede) pode até estar forte; porém, a segurança do endpoint (o computador) e a gestão de aplicativos de consumo (como o WhatsApp Desktop) foram a grande falha explorada.

5. O dano estratégico: o impacto nos pilares de saúde e educação

A escolha dos setores de Saúde e Educação como alvos preferenciais para a disseminação em massa não foi aleatória. São ambientes em que o caos operacional gerado por um worm causa o maior prejuízo — atingindo a vida das pessoas e a continuidade dos serviços essenciais.

Saúde: o colapso no atendimento

O setor de Saúde é um alvo constante. Relatórios de 2025 indicaram que 84% das organizações de saúde no Brasil foram vítimas de algum tipo de ataque cibernético nos 12 meses anteriores.

Quando um worm como o SORVEPOTEL se espalha:

• Paralisação de sistemas: o worm satura a rede com o reenvio incessante do arquivo, sobrecarregando os servidores. Em um hospital, isso pode significar a paralisação dos sistemas de gestão de pacientes, impedindo médicos de acessarem prontuários, solicitarem exames ou agendarem cirurgias
• Risco de vida: a paralisação não é apenas um prejuízo financeiro; pode comprometer o atendimento a centenas de pessoas em questão de minutos. Imagine que o sistema de monitoramento de leitos ou a farmácia interna fiquem inoperantes — o dano à vida humana é imediato e imensurável
• Dano reputacional: o fato de o malware se propagar pela conta da própria instituição faz com que a organização se torne, sem querer, um vetor de ataque contra seus próprios clientes e parceiros, minando a confiança de pacientes e fornecedores

Educação: a disrupção da infraestrutura

O setor de Educação lida com um grande volume de usuários (alunos, professores, administradores) e uma infraestrutura de rede frequentemente mais dispersa e heterogênea — o que o torna um terreno fértil para a propagação rápida de worms.

• Caos administrativo: o contágio dos endpoints paralisa operações administrativas, afetando sistemas de matrícula, notas e comunicação oficial
• Perda de produtividade em massa: contudo, o maior impacto é a perda de tempo. A limpeza manual de cada máquina infectada desvia equipes de TI inteiras de suas funções primárias por dias, resultando em perda massiva de produtividade para professores e técnicos

6. Sobrevivendo ao caos: seu plano de resposta humanizado

Se a ameaça se espalha rapidamente, a resposta precisa ser ainda mais veloz e cirúrgica. Costumo comparar a contenção de um worm a um incêndio: você precisa cortar o oxigênio imediatamente.

Portanto, é fundamental ter um Plano de Resposta a Incidentes (IRP) com foco na interrupção da propagação.

Os 3 pilares da contenção imediata (triagem crítica)

Se você suspeitar que você, um colega ou um cliente foi infectado pelo vírus ZIP do WhatsApp, as ações devem ser tomadas em segundos:

1. Isolar o “paciente zero” (o cabo de rede): o primeiro movimento é drástico, porém vital. O sistema afetado deve ser imediatamente isolado da rede. Desconecte o cabo de rede. Desligue o Wi-Fi. Essa ação impede que o worm acesse novos alvos dentro da rede corporativa e se comunique com o servidor C2, interrompendo a propagação exponencial — como colocar um paciente em isolamento para evitar o contágio
2. Desativar o megafone (logout do WhatsApp): em seguida, neutralize o vetor de propagação. Pegue um celular limpo e, nas configurações do WhatsApp, force o logout de todas as sessões ativas do WhatsApp Web/Desktop associadas à conta comprometida. Se o worm não tiver mais a chave da sua conta ativa, ele não conseguirá enviar mensagens, interrompendo a disseminação
3. Reiniciar em modo de segurança e limpar: apesar disso, o malware ainda estará no sistema. Para removê-lo, reinicie o computador em Modo de Segurança. Isso impede que o script de persistência seja carregado automaticamente, permitindo que você ou sua equipe de TI usem um software de proteção avançada para varrer e erradicar o malware

7. A recuperação de dados e o “voltar no tempo”

Após a erradicação do malware, a recuperação é o último pilar. Costumo dizer que o backup é o seu “botão de voltar no tempo”.

• Restauração com imutabilidade: é imprescindível que os sistemas e dados críticos sejam restaurados a partir de cópias de segurança limpas e atualizadas. A tecnologia de snapshots (capturas do estado do sistema) permite que a empresa volte a um ponto anterior ao ataque em minutos. Isso minimiza o downtime e garante a continuidade das operações
• Comunicação transparente: a comunicação com clientes e parceiros não deve ser negligenciada. Ser transparente sobre o incidente — informando que a ameaça foi contida e os sistemas estão limpos — ajuda a mitigar o dano reputacional

8. Lições aprendidas: defesas de longo prazo

O ataque do SORVEPOTEL expôs uma vulnerabilidade cultural e técnica que precisa ser corrigida estruturalmente no ambiente B2B brasileiro.

Treinamento: a mente como primeiro firewall

O treinamento de conscientização é nossa primeira e melhor linha de defesa. Ele precisa ser contínuo e focado nos pontos fracos expostos pelo malware:

• Suspeite do urgente: ensine colaboradores a desconfiar de qualquer anexo que gere senso de urgência ou que exija a abertura em um desktop — a isca perfeita
• Verifique a extensão: um arquivo ZIP que contenha um atalho LNK disfarçado de PDF deve acender todos os alarmes. O treinamento deve capacitar o usuário a identificar essas inconsistências
• MFA no WhatsApp: a implementação da autenticação multifator (MFA) em todas as contas de WhatsApp usadas profissionalmente é uma barreira crucial para dificultar o sequestro da conta — e, consequentemente, a propagação

Tecnologia: o fim da confiança cega no endpoint

A lição técnica mais importante é: não confie cegamente nas ferramentas nativas do sistema.

• EDR e comportamento: as organizações precisam migrar urgentemente de antivírus tradicionais (que procuram apenas arquivos conhecidos) para soluções de Detecção e Resposta de Endpoint (EDR ou XDR). Essas ferramentas não apenas buscam vírus, mas monitoram o comportamento do sistema — detectando, por exemplo, que o PowerShell (um programa legítimo) está sendo usado de forma anômala para baixar arquivos de domínios suspeitos
• Hardening do sistema: configurar políticas de segurança para restringir o uso indiscriminado de scripts e desabilitar a execução de atalhos LNK suspeitos reforça a proteção contra a tática LotL

9. Conclusão: uma nova era de ameaças íntimas

A campanha SORVEPOTEL, de outubro de 2025, serve como um espelho assustador da sofisticação do cibercrime brasileiro. Testemunhamos a convergência de uma engenharia social de alto nível com a exploração tática de ferramentas legítimas do Windows.

O maior risco explorado foi a intersecção entre nossa cultura de comunicação (a dependência do WhatsApp para negócios) e a segurança insuficiente dos endpoints corporativos.

Apesar disso, o evento nos oferece uma oportunidade de ouro para fortalecer nossa resiliência. O foco estratégico não pode mais ser apenas o perímetro da rede — deve se estender ao fortalecimento da segurança comportamental e à gestão rigorosa de todas as aplicações que usamos no dia a dia. A vigilância é a nossa vacina.

Portanto, a resposta ao desafio do SORVEPOTEL é uma mistura de tecnologia (EDR, Backup Imutável) e humanização (treinamento, desconfiança). Somente elevando a consciência digital de cada colaborador — e tratando o WhatsApp corporativo com o mesmo rigor de um servidor de e-mail — conseguiremos nos proteger de futuras epidemias digitais que usam a nossa confiança como vetor de ataque.