Pesquisadores de segurança alertam para uma nova evolução de ataques cibernéticos que têm o WhatsApp como vetor principal e podem ter se valido de inteligência artificial para se tornarem mais sofisticados. A análise da empresa de cibersegurança Trend Micro aponta fortes indícios de uso de IA na atualização de um malware direcionado especialmente a usuários brasileiros, capaz de driblar antivírus e roubar credenciais bancárias.
Trata-se de uma variante aprimorada de um vírus conhecido como Sorvepotel, detectado pela primeira vez em outubro. Assim como na campanha inicial, a ameaça se propaga via WhatsApp Web: ao assumir o controle da conta da vítima, o malware envia automaticamente o arquivo malicioso para os contatos, ampliando rapidamente o alcance do golpe. A nova versão, porém, traz mudanças relevantes na arquitetura e na capacidade de evasão.
Indícios de uso de IA na nova versão
Segundo a Trend Micro, a principal alteração foi a reescrita do malware em Python — linguagem diferente da empregada anteriormente. Para os pesquisadores, há “fortes indícios circunstanciais” de que ferramentas automatizadas, como modelos de linguagem de grande porte (LLMs) ou sistemas de tradução de código, podem ter sido usadas para acelerar essa adaptação. Entre os sinais que sustentam essa hipótese estão a melhor organização e aparência do código, o uso incomum de emojis na programação e a rapidez com que a nova versão surgiu mantendo alta similaridade funcional com a anterior. A variante também passou a ser compatível com mais navegadores e a disparar mensagens com maior agilidade.
Tática de engenharia social e vetor de infecção
Os criminosos usam o WhatsApp para enviar mensagens que simulam situações cotidianas — comprovantes de pagamento, orçamentos ou documentos comerciais — e incentivam a vítima a abrir o arquivo no computador, frequentemente com frases como “tenta abrir no computador”. Ao executar o arquivo, o usuário dispara a infecção: o dispositivo passa a se conectar à central de comando dos invasores e atua como um “zumbi” sob controle remoto.
Como o Sorvepotel opera
A Trend Micro descreve o fluxo típico do ataque:
- envio de arquivos que se passam por documentos legítimos, em formatos como ZIP, PDF ou HTA;
- execução do arquivo pela vítima, que estabelece conexão com a infraestrutura dos hackers;
- download forçado de um instalador que compromete o dispositivo com o malware bancário;
- coleta de informações do sistema, incluindo idioma, presença de antivírus e sinais de acesso a serviços bancários;
- execução de comandos para criar páginas falsas de bancos, capturar senhas digitadas e realizar capturas de tela.
O malware também vasculha pastas e o histórico de navegação em busca de nomes e acessos relacionados a instituições financeiras. A Trend Micro observa uma particularidade relevante para o Brasil: o uso frequente de módulos de segurança exigidos pelos bancos facilita identificar qual é a instituição principal utilizada pela vítima.
Consequências além do roubo de credenciais
Além do risco de furto de senhas bancárias, há a possibilidade de a conta do WhatsApp ser usada para disparo massivo de mensagens, o que pode levar a plataforma a interpretar a atividade como spam e bloquear ou banir a conta. Os pesquisadores ressaltam que, mesmo com foco aparente em computadores corporativos, muitos ataques ocorrem quando funcionários acessam contas pessoais do WhatsApp Web em máquinas de trabalho.
Recomendações práticas
A Trend Micro orienta medidas preventivas tanto para usuários quanto para empresas: desativar downloads automáticos no WhatsApp, restringir downloads em dispositivos corporativos, promover treinamentos de conscientização e sempre confirmar por outros meios a legitimidade de arquivos recebidos.
O caso ilustra como o WhatsApp, ainda que não explorado por vulnerabilidades diretas nesse contexto, é usado como peça central na cadeia de ataques — e como a possível adoção de ferramentas de IA por criminosos pode tornar golpes digitais mais rápidos, convincentes e difíceis de detectar.
