Pada Jum’at, 3 Oktober 2025, peneliti dari Trend Micro mengidentifikasi malware campaign baru bernama “Water Saci”, dengan varian malware yang disebut “Sorvepotel”, yang menyebar melalui WhatsApp Desktop dan Web dengan memanfaatkan active session pengguna untuk melakukan self-propagating[1][2].

Kampanye ini berawal dengan menargetkan sektor keuangan dan platform cryptocurrency exchanges di Brasil, dengan tujuan utama mencuri kredensial dan informasi sensitif untuk melakukan account compromise[2]. Namun, karena kemampuan penyebarannya yang otomatis, infeksi ini meluas secara signifikan ke berbagai sektor lain, termasuk pemerintahan, layanan publik, manufaktur, teknologi, pendidikan, dan konstruksi[2][3].

Dari 477 kasus yang terlapor, sekitar 457 kasus berasal dari Brasil, menjadikannya pusat utama penyebaran malware ini[2]. Insiden ini menimbulkan dampak berupa aktivitas pengiriman pesan otomatis, potensi pencurian data pribadi maupun finansial, serta gangguan operasional pada organisasi yang terdampak.

Berikut adalah tahapan serangan yang teridentifikasi dalam kampanye ini[2]:

1. Penyerang mengirim pesan WhatsApp dari kontak yang tampak dipercaya berisi lampiran ZIP yang diminta dibuka di komputer.
2. ZIP berisi file palsu yaitu `.lnk`, `.url`, atau dokumen yang menjalankan skrip; ketika diklik di desktop/laptop, skrip seperti PowerShell atau berkas `.bat` akan dieksekusi.
3. Skrip tersebut mengunduh payload tambahan dari server penyerang (domain C2) dan memasang komponen untuk persistensi di sistem korban.
4. Malware memanfaatkan sesi WhatsApp Web/Desktop yang aktif (token atau sesi pada browser) untuk mengirim pesan dan lampiran berbahaya atas nama korban ke daftar kontak.
5. Akibat langsung yaitu potensi pemblokiran/penangguhan akun (account banned) karena akun korban mengirim pesan atau lampiran dalam jumlah besar dan cepat.

Beberapa tanda yang dapat menunjukkan adanya infeksi malware Sorvepotel / Water Saci antara lain:

1. File mencurigakan seperti ComprovanteSantander-18736748.908476642.lnkDOC-98083986_4B17B4B2.lnkHealthApp-XXXXXX.bat[2][3].
2. Aktivitas sistem tidak biasa, seperti PowerShell berjalan otomatis, muncul file baru HealthApp-*.bat di folder Startup, atau WhatsApp Web aktif sendiri tanpa interaksi [2].
3. Akun WhatsApp mengirim pesan otomatis berisi file ZIP ke semua kontak dan berpotensi dibanned karena aktivitas spam massal[2].
4. Koneksi ke domain berbahaya, seperti:sorvetenopote[.]com, expansiveuser[.]com, zapgrande[.]com[3].

Untuk daftar lengkap hash, domain, dan artefak teknis, silakan mengacu pada laporan resmi Trend Micro[2] dan Broadcom/Symantec[3].

1. Jangan membuka lampiran ZIP yang dikirim melalui WhatsApp, terutama jika diarahkan untuk dibuka di komputer [2][4].
2. Segera logout dari semua sesi WhatsApp Web/Desktop[2].
3. Aktifkan verifikasi dua langkah (2FA) dan pastikan sistem serta antivirus selalu diperbarui [2][3].
4. Edukasi pengguna agar tidak membuka file dari kontak mencurigakan, meskipun tampak tepercaya [1][2].
5. Blokir domain berbahaya seperti sorvetenopote[.]com dan pantau aktivitas jaringan mencurigakan [3].
6. Jangan menggunakan WhatsApp untuk mengirimkan data critical/perusahaan, gunakan channel komunikasi resmi, seperti Microsoft Teams.