Vírus do arquivo zip já atingiu vítimas em diversos estados do Brasil e se espalha por WhatsApp Web com mensagens falsas

Entre em nosso grupo de notícias no WhatsApp

O Brasil se tornou o principal alvo de uma campanha de malware em massa que utiliza um vírus do arquivo zip para enganar usuários no WhatsApp.

O ataque, identificado pela Trend Micro como “Sorvepotel”, já registrou 477 casos confirmados, sendo 457 no país, e tem como objetivo se propagar rapidamente entre contatos e grupos da plataforma.

Segundo a Tecnomundo, o golpe começa quando a vítima recebe uma mensagem de phishing vinda de um contato conhecido, que já foi infectado. A mensagem traz um anexo zip com nomes sugestivos, como “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”, que se passam por comprovantes de pagamento ou orçamentos.

Ao abrir o arquivo no computador, especialmente em sistemas Windows, o malware é ativado. De acordo com a Trend Micro, até e-mails de phishing também vêm sendo usados para distribuir o vírus do arquivo zip, com anexos maliciosos intitulados como:

“COMPROVANTE_20251001_094031.zip”
“ComprovanteSantander-75319981.682657420.zip”

Esses e-mails também utilizam remetentes falsificados e assuntos aparentemente legítimos para convencer a vítima a abrir o arquivo, como:

“DocumentoRafaelB.zip”
“ExtratoBradesco.zip”

Vírus do arquivo zip se esconde no Windows e replica mensagens no WhatsApp Web

Ao acessar o conteúdo do arquivo zip, a vítima encontra um atalho (.LNK) que executa comandos no Windows em segundo plano, baixando o malware principal de servidores controlados pelos criminosos. Esse vírus do arquivo zip instala scripts em lote que garantem sua reativação toda vez que o computador é ligado, escapando de antivírus básicos.

Uma vez ativo, o malware detecta sessões abertas do WhatsApp Web e usa a conta comprometida para disparar automaticamente o mesmo arquivo zip para todos os contatos e grupos, transformando o perfil da vítima em um disseminador em massa. O resultado é a suspensão frequente dessas contas por spam e propagação acelerada do golpe.

Apesar de não haver indícios de roubo de dados ou criptografia de arquivos até agora, especialistas alertam que ataques semelhantes já foram usados no Brasil para tentar acessar informações financeiras. O Sorvepotel também utiliza domínios falsos parecidos com endereços legítimos (“typosquatting”) para camuflar sua atividade.

Como se proteger do vírus do arquivo zip?

Para se proteger, especialistas recomendam desativar downloads automáticos no WhatsApp, restringir transferência de arquivos em dispositivos corporativos, treinar usuários para não abrir anexos suspeitos, mesmo de contatos conhecidos, e sempre utilizar canais oficiais e seguros para compartilhamento de documentos.

Além disso, o usuário deve ficar atento a mensagens consideradas “estranhas” de números clonados de pessoas conhecidas. O novo golpe não cita o nome da pessoa a qual foi enviada a mensagem, mas sim, o número – o que deve ser percebido logo ao receber a mensagem do golpista.

As formas de contatos mais comuns são de empresas como, academias, restaurantes, lojas e etc, que possuem dados cadastrais de clientes que foram roubados. Dessa forma, as mensagens são enviadas para os contatos de forma viral – e quem abre o arquivo, fica sujeito ao vírus.