PacificNews#216: Communication Breakdown
O malware que está infestando o WhatsApp brasileiro
Uma campanha massiva está alvejando instâncias online do aplicativo de mensagens instantâneas WhatsApp, que é amplamente utilizado em todo o mundo, sobretudo no Brasil. Diferentemente de campanhas anteriores, o objetivo desta é agilidade e propagação, abusando de confiança entre os pares e automação para se espalhar o mais rápido possível entre os usuários de Windows. A campanha ficou conhecida como “Water Saci” e o malware utilizado foi nomeado SORVEPOTEL e, atualmente, está infectando especialmente os usuários brasileiros.
O vetor de infecção começa com as vítimas recebendo uma mensagem de phishing através do WhatsApp, vindo de um contato infectado – tipicamente um colega, amigo ou parente, para dar mais legitimidade. Na conversa, os atacantes enviam um arquivo .ZIP com nomes como “20250930_112057.zip”, “ORCAMENTO_114418.zip” ou similares, acompanhado de uma mensagem em português dizendo: “Visualização permitida somente em computadores”.
Ao baixar e extrair o arquivo zipado, as vítimas se deparam com um arquivo de atalho do Windows, ou .LNK, que executa um script em PowerShell que dará início à infecção, baixando o primeiro estágio do payload dos domínios controlados pelos atacantes, executando no computador da vítima através da função “Invoke-Expression” (IEX). Este arquivo é, geralmente, um script em batch que estabelece a persistência do atacante no ambiente infectado.
Com a persistência estabelecida, o malware é capaz de detectar se sessões do WhatsApp Web estão ativas na máquina-alvo. Em caso positivo, o SORVEPOTEL distribui o mesmo arquivo zipado para todos os contatos e grupos associados à vítima, se propagando rapidamente: tão rapidamente que, muitas vezes, a conta é suspensa por enviar mensagens em altíssimo volume, fazendo com que a Meta identifique aquela conta como spam.
Tecnicamente, o SORVEPOTEL é um malware de estágios múltiplos. Seu primeiro estágio, executado diretamente na memória, visa garantir persistência e baixar o binário da fase dois, uma DLL maliciosa que irá evadir sistemas de detecção e baixar dois payloads: um trojan espião e uma outra DLL que irá sequestrar o WhatsApp Web.
O curioso é que este malware está sendo usado, principalmente, para propagação: após a infecção, ele continua operando com a distribuição do malware para outros contatos, não havendo sinais significativos de exfiltração de dados ou criptografia de arquivos, como se espera de um ransomware. Ainda assim, ainda trata-se de uma campanha nova e que abusa de engenharia social e da confiança entre pares para se instaurar no maior número possível de dispositivos. Cuidado com o SORVEPOTEL.
Golpistas faturam milhões com deepfakes de Gisele Bündchen em anúncios
Uma organização criminosa que utilizava inteligência artificial para criar deepfakes da modelo Gisele Bündchen e de outras celebridades em anúncios fraudulentos no Instagram foi alvo de uma megaoperação policial na última semana. As autoridades prenderam quatro suspeitos e bloquearam bens em cinco estados, numa investigação que revelou a movimentação de mais de R$20 Milhões(US$3,9 milhões) em fundos ilícitos, conforme relatório do Conselho de Controle de Atividades Financeiras (COAF).
A operação representa um dos primeiros grandes esforços no Brasil para combater o uso crescente de ferramentas de inteligência artificial na manipulação de imagens e vídeos para a aplicação de golpes online. A ação ocorre em um momento em que o cerco contra a disseminação de conteúdo criminoso nas redes sociais se intensifica no país. Em junho, o Supremo Tribunal Federal (STF) firmou o entendimento de que as plataformas digitais podem ser responsabilizadas por anúncios fraudulentos publicados por usuários, caso não atuem de forma proativa para a remoção do conteúdo, mesmo sem uma ordem judicial específica.
O grupo criminoso, segundo as investigações, criava anúncios sofisticados utilizando a imagem de celebridades para promover a venda de produtos inexistentes ou para direcionar as vítimas a falsas plataformas de apostas. Os consumidores, atraídos pela credibilidade das figuras públicas, realizavam pagamentos, geralmente de baixo valor, que não eram reportados às autoridades. "Identificamos que o grupo criminoso realizou uma série de outros golpes, envolvendo deepfakes de outras celebridades e plataformas de apostas falsas", afirmou Eibert Moreira Neto, titular da Delegacia de Repressão aos Crimes Cibernéticos do Rio Grande do Sul, em entrevista à Reuters. Os investigadores apuram os crimes de lavagem de dinheiro e estelionato virtual.
A estratégia dos criminosos se baseava na baixa notificação dos crimes devido aos pequenos prejuízos individuais. "Isso criou uma situação perversa, na qual os criminosos desfrutavam de uma espécie de 'imunidade estatística'. Eles sabiam que a maioria das pessoas não os denunciaria, então operavam em larga escala, sem medo", explicou a delegada Isadora Galian, também da unidade de crimes cibernéticos, em comunicado à imprensa.
Patches & Updates
Redis:
O time de segurança do Redis (Remote Dictionary Server) alertou sobre uma vulnerabilidade de máxima severidade que pode resultar em execução remota de código (RCE) em diversas instâncias vulneráveis. Atualmente, estima-se que 75% dos ambientes em Cloud usem Redis, agravando a severidade desta falha, que ficou conhecida como CVE-2025-49844. Sabe-se que, para a sua exploração, os atacantes precisam estar autenticados e executar um script customizado em Lua, permitindo um escape no sandbox e garantindo uma shell reversa. Para mitigar esta vulnerabilidade, os administradores de sistema precisam atualizar o Redis para a sua última versão: 7.22.2-12 e superiores, 7.8.6-207 e superiores, 7.4.6-272 e superiores, 7.2.4-138 e superiores, 6.4.2-131 e superiores.
Bug:
O problema dos anos 2036 e 2038 é um bug que só será acionado em mais de uma década, mas que pode ser explorado hoje por agentes de ameaça contra sistemas de controle industrial (ICS) e dispositivos de consumo. O bug do ano 2038 afeta sistemas que utilizam um inteiro de 32 bits para armazenar o tempo. Após 19 de janeiro de 2038, esses sistemas começarão a interpretar a data como 13 de dezembro de 1901, devido a um estouro de valor (integer overflow). Já o bug do ano 2036 está relacionado ao Network Time Protocol (NTP) e será acionado em 7 de fevereiro de 2036. Em uma apresentação recente na conferência de segurança BruCON, Darley e Umbelino alertaram que invasores podem empregar diversos métodos de manipulação de tempo — como falsificação de GPS, injeção de NTP, adulteração de campos de formato de arquivo e manipulação de carimbos de data/hora de protocolos — para definir manualmente o relógio de um sistema-alvo para o ano de 2036 ou 2038, acionando os bugs de forma deliberada. A exploração dessas vulnerabilidades pode resultar em falhas de sistema, corrupção de dados e quebras em protocolos de segurança, representando um risco significativo para infraestruturas críticas e sistemas de segurança cibernética.
Oracle:
A Oracle informou aos clientes que corrigiu uma vulnerabilidade crítica de execução remota de código, rastreada como CVE-2025-61882. A falha afeta as versões 12.2.3 a 12.2.14 do Oracle E-Business Suite, especificamente o componente Integração de Publicação de BI do Oracle Concurrent Processing. Diante da ampla exploração em massa de dia zero que já ocorreu — e da exploração de dia n que provavelmente continuará por outros agentes —, espera-se que novos grupos de ameaça adicionem essa vulnerabilidade ao seu arsenal. Por isso, independentemente de quando o patch foi aplicado, as organizações devem verificar se já foram comprometidas e revisar seus registros e indicadores de comprometimento (IoCs) relacionados à falha.
Destaques pelo mundo
Brasil:
Uma vulnerabilidade no software Zimbra Collaboration foi explorada em ataques contra os militares brasileiros. A falha de segurança – um zero-day, que hoje é conhecido por CVE-2025-27915 – tratou-se de um XSS no cliente web do Zimbra, que permitia a execução remota de código, possibilitando ações não autorizadas, como roubo de dados e redirecionamento de emails. Para efetuar o ataque, os ofensores se passaram por oficiais militares da Líbia, mandando mensagens de phishing para o exército brasileiro. Não se sabe qual ator de ameaças está por trás deste ataque, mas o grupo russo APT28 explorou este tipo de vulnerabilidade em outras aplicações web, como Roundcube, Horde, MDaemon e Zimbra.
Games:
A Unity, uma plataforma e engine de desenvolvimento multiplataforma, que oferece ferramentas de renderização, física, animação e script para criação de jogos para Windows, macOS, Android, iOS, consoles e web, sofreu com uma vulnerabilidade de execução de código remoto, assustando gamers em todo o mundo. Através da exploração desta vulnerabilidade, atacantes conseguem executar código no Android e elevar privilégios no Windows. Em resposta ao risco, a Steam lançou uma nova atualização de seu client que bloqueia URIs customizadas para prevenir a exploração através de sua plataforma. A Microsoft recomendou que usuários desinstalem jogos vulneráveis até uma nova versão corrigir esta falha. Até o momento, sabe-se que grandes jogos como Hearthstone, The Elder Scrolls: Blades, Fallout Shelter, Doom, Wasteland 3 e Forza Customs estão vulneráveis.
Cripto:
Cibercriminosos a serviço do governo norte-coreano roubaram mais de US$2 bilhões em criptomoedas apenas neste ano, de acordo com a empresa de análise de blockchain Elliptic. A maioria dos ataques registrados em 2025 foi realizada por meio de engenharia social, técnica em que os criminosos enganam ou manipulam pessoas para obter acesso a ativos digitais. Essa tendência representa uma mudança em relação aos ataques de anos anteriores, nos quais os invasores exploravam falhas técnicas na infraestrutura das plataformas de criptomoedas para roubar fundos. A mudança evidencia que o ponto mais vulnerável na segurança das criptomoedas é, cada vez mais, humano — e não técnico.
Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!
Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!
Escrito por: Thaís Hudari Abib e Murilo Lopes
Arte: George Lopes e Anselmo Costa
