Un helado de malware: Sorvepotel se derrite por WhatsApp

 

---

🗞️ Resumen del hecho:

Un nuevo software malicioso, Sorvepotel, se está propagando por WhatsApp Web, principalmente en Brasil, y apunta a equipos con Windows.
Según Trend Micro, el virus se infiltra mediante mensajes de phishing con archivos ZIP disfrazados de documentos legítimos.
Dentro del ZIP hay un acceso directo (.LNK) que ejecuta un script de PowerShell, descargando el malware real desde dominios falsos (como sorvetenopoate[.]com).
Una vez instalado, el programa mantiene persistencia, se copia en el sistema y se conecta a servidores de comando y control rusos (C2) para recibir instrucciones o descargar nuevos módulos.

---

💣 Cómo se propaga:

La parte más alarmante: Sorvepotel usa las sesiones activas de WhatsApp Web del usuario infectado para reenviarse automáticamente a todos los contactos y grupos.
Es decir, el malware usa tu propia cuenta como catapulta, creando una cadena de contagio digital casi imposible de detener.

Resultado:
➡️ Cuentas bloqueadas por spam.
➡️ Propagación masiva en minutos.
➡️ Riesgo de robo de credenciales bancarias (por medio del módulo Maverick.Agent).

---

🌎 Impacto y contexto:

Hasta ahora se han confirmado 477 infecciones, la mayoría en Brasil, afectando sobre todo a entidades públicas y de servicios esenciales.
Aunque no cifra archivos (como un ransomware), algunos módulos secundarios permiten robo de credenciales y manipulación de sitios bancarios mediante superposiciones falsas.
El malware incluso verifica el país y la zona horaria antes de activarse: si no estás en Brasil, se queda “dormido” (por ahora).

Los expertos advierten que esta técnica de propagación —usar apps sociales como medio de infección y no solo como objetivo— marca un nuevo capítulo en la evolución del cibercrimen.

---

🧰 Recomendaciones:

🔒 Desactiva las descargas automáticas en WhatsApp.
💻 No abras archivos ZIP de contactos sospechosos (aunque sean amigos).
🚫 Evita usar WhatsApp Web en equipos corporativos.
🛡️ Implementa EDR/antivirus que detecten scripts PowerShell y archivos LNK ofuscados.
👩‍🏫 Capacita a los usuarios en phishing y verificación de mensajes.
🌐 Bloquea tráfico hacia dominios sospechosos y servidores C2 conocidos.