Uma nova técnica chamada “Zombie ZIP” permite ocultar payloads em arquivos compactados criados para escapar da detecção por soluções de segurança, como antivírus e produtos de endpoint detection and response (EDR).
Tentar extrair esses arquivos com utilitários comuns, como WinRAR ou 7-Zip, resulta em erros ou dados corrompidos.
O método manipula os headers dos arquivos ZIP para enganar os motores de parsing, levando-os a interpretar os dados compactados como se já estivessem descompactados.
Em vez de identificar o arquivo como uma ameaça potencial, as ferramentas de segurança confiam nessa informação do header e escaneiam o conteúdo como uma cópia original descompactada dentro do container ZIP.
A técnica “Zombie ZIP” foi desenvolvida pelo pesquisador de segurança da Bombadil Systems, Chris Aziz, que constatou sua eficácia contra 50 dos 51 motores antivírus testados na plataforma VirusTotal.
Segundo Aziz, “os motores de AV confiam no campo Method do ZIP.
Quando Method=0 (STORED), eles analisam os dados como bytes crus e descompactados.
Porém, na verdade, os dados estão comprimidos via DEFLATE, fazendo com que o scanner veja apenas ruído comprimido, sem encontrar assinaturas”.
Um atacante pode criar um loader personalizado que ignora o header e interpreta o arquivo corretamente como dados compactados pelo algoritmo padrão DEFLATE usado em arquivos ZIP modernos.
O pesquisador publicou um proof-of-concept (PoC) no GitHub, com exemplos de arquivos e detalhes técnicos da técnica.
Para causar erro nos principais programas de extração (como 7-Zip, unzip e WinRAR), é necessário definir o valor CRC, que garante a integridade dos dados, como o checksum do payload descompactado.
“No entanto, um loader específico que ignora o método declarado e realiza a descompactação via DEFLATE consegue recuperar perfeitamente o payload”, explica Aziz.
Recentemente, o CERT Coordination Center (CERT/CC) emitiu um boletim alertando sobre o “Zombie ZIP” e os riscos associados a arquivos malformados.
Apesar do header malformado enganar algumas soluções de segurança, o órgão afirma que algumas ferramentas de extração ainda conseguem descompactar corretamente esses arquivos.
A vulnerabilidade recebeu o identificador CVE-2026-0866 e é considerada similar a uma falha descoberta há mais de 20 anos, a
CVE-2004-0935
, que afetava uma versão inicial do antivírus ESET.
O CERT/CC recomenda que os fornecedores de soluções de segurança validem os campos de compressão em relação aos dados reais, adotem processos mais rigorosos para detectar inconsistências na estrutura dos arquivos e implementem modos de inspeção mais agressivos.
Para os usuários, a orientação é ter cautela com arquivos compactados, especialmente os recebidos de remetentes desconhecidos, e excluí-los imediatamente caso a tentativa de descompactação retorne erros do tipo “método não suportado”.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...