O nouă tehnică denumită Zombie ZIP permite evitarea sistemelor de securitate

O nouă tehnică denumită Zombie ZIP ajută la mascarea payload-urilor în fișiere comprimate create special pentru a evita detectarea de către soluții de securitate, cum ar fi produsele antivirus și de detectare și răspuns la nivel de terminal (EDR).

Încercarea de a extrage fișierele cu utilitare standard precum WinRAR sau 7-Zip duce la erori sau date corupte. Tehnica funcționează prin manipularea anteturilor ZIP pentru a determina motoarele de analiză să trateze datele comprimate ca fiind necomprimate.

În loc să semnaleze arhiva ca fiind potențial malițioasă, soluțiile de securitate consideră antetul ca fiind de încredere și scanează fișierul ca și cum ar fi o copie a originalului într-un container ZIP.

O persoană rău intenționată poate crea un loader care ignoră antetul și tratează arhiva ca atare: date comprimate folosind algoritmul standard Deflate utilizat în fișierele ZIP moderne.

Pentru a determina tool-urile comune de extragere (de exemplu, 7-Zip, unzip, WinRAR) să genereze o eroare, specialiștii afirmă că valoarea CRC care asigură integritatea datelor trebuie setată la checksum-ul payload-ului necomprimată.

Identificatorul CVE-2026-0866 a fost atribuit pentru această problemă de securitate, care este similară cu o vulnerabilitate dezvăluită în urmă cu mai bine de două decenii, CVE-2004-0935, care afecta o versiune anterioară a produsului antivirus ESET.

Utilizatorii trebuie să trateze fișierele arhivate cu precauție, în special cele provenite de la destinatari necunoscuți, și să le șteargă imediat dacă încercările de decomprimare se soldează cu o eroare de metodă neacceptată.

Sursă: https://www.bleepingcomputer.com/news/security/new-zombie-zip-technique-lets-malware-slip-past-security-tools/