Uma nova ameaça digital está em circulação no país, identificado como o Water Saci – ou o “saci da água”, em português -, é um malware (“software malicioso” – da sigla em inglês malicious software) projetado para atingir instituições financeiras brasileiras e usuários do WhatsApp.
Desde sua detecção, já impactou 457 organizações, explorando a confiança entre contatos para se espalhar e roubar credenciais bancárias e de corretoras de criptomoedas.
Como o Water Saci se espalha?
O ataque começa quando a vítima recebe uma mensagem de um contato comprometido, geralmente um amigo ou colega de trabalho, contendo um arquivo ZIP malicioso.
Os arquivos trazem nomes genéricos, como “RES-20250930_112057.zip” ou “ORCAMENTO_114418.zip”, e instruções para serem abertos em um computador, indicando o foco dos criminosos em ambientes corporativos.
Ao descompactar o arquivo, o usuário encontra um atalho (.LNK) que executa, de forma oculta, um script PowerShell malicioso. O código se conecta a domínios controlados pelos invasores e baixa novos componentes, incluindo o malware SORVEPOTEL — nome inspirado na expressão “sorvete no pote”.
Como o Water Saci rouba informações?
Uma vez instalado, o Water Saci ativa módulos como Maverick.StageTwo e Maverick.Agent, que monitoram a navegação da vítima e detectam acessos a sites bancários. O malware cria janelas falsas sobre páginas legítimas para capturar senhas, assinaturas eletrônicas e tokens de autenticação.
O vírus também é capaz de sequestrar sessões ativas do WhatsApp Web. Ao identificar uma conta comprometida, ele envia automaticamente o mesmo arquivo malicioso a todos os contatos, perpetuando o ciclo de infecção.
Campanha focada no Brasil
Segundo a Trend Micro, 457 dos 477 casos detectados ocorreram no Brasil. A campanha tem como alvo principal instituições públicas, financeiras e empresas dos setores de tecnologia, educação e construção.
Para manter-se ativo e evitar detecção, o malware utiliza domínios com erros de digitação, como “sorvetenopotel”, disfarçando-se entre sites legítimos. Essa técnica ajuda a confundir sistemas de segurança e usuários menos atentos.
3 dicas para se proteger
A Trend Micro recomenda medidas simples para reduzir o risco de infecção:
1. Desativar downloads automáticos no WhatsApp.
2. Bloquear a transferência de arquivos em aplicativos pessoais nos dispositivos corporativos.
3. Realizar treinamentos de segurança para ensinar funcionários a reconhecer mensagens suspeitas e evitar abrir anexos não verificados.
A disseminação do Water Saci mostra como ataques cibernéticos estão evoluindo e explorando a confiança digital para atingir empresas e usuários comuns.
