Um pesquisador publicou “Zombie ZIP”, uma maneira simples de alterar a primeira parte (cabeçalho) de um arquivo ZIP para que ele afirme falsamente que seu conteúdo está descompactado, mas na verdade está compactado.
Muitos produtos antivírus confiam nesse cabeçalho e nunca descompactam ou inspecionam adequadamente a carga real. Em testes realizados cerca de uma semana após a divulgação, cerca de 60 dos 63 pacotes antivírus comuns não conseguiram detectar malware oculto dessa forma – cerca de 95% dos mecanismos o deixaram passar.
Zombie ZIP é essencialmente um método para criar um arquivo ZIP malformado que pode ignorar a detecção pela maioria dos antivírus. A técnica tem uma ressalva importante, no entanto. O arquivo ZIP malformado requer um carregador personalizado para abri-lo corretamente. Qualquer utilitário de arquivamento normal, como o extrator integrado do Windows, 7-zip, WinRAR e outros, também sinalizará o arquivo como malformado.
A vulnerabilidade é rastreada como CVE-2026-0866embora vários pesquisadores de segurança cibernética disputa se deveria ser categorizado como uma vulnerabilidade ou receber um CVE. O fato de exigir um carregador personalizado torna quase impossível que esse método infecte um sistema que ainda não esteja comprometido.
Ele ainda permite que soluções antimalware detectem o carregador personalizado e qualquer malware conhecido, uma vez que a carga útil seja descompactada corretamente. Em outras palavras, o desvio afeta apenas a inspeção inicial do arquivo ZIP, e não a execução real de malware já conhecido.
Malwarebytes/Ameaça para baixo A propósito, os produtos detectaram ambos os arquivos.
Detalhes técnicos
Em seu Página GitHub (atualmente bloqueado pelo Malwarebytes Browser Guard devido a um padrão arriscado), os pesquisadores explicam como funciona o método Zombie ZIP.
Ao alterar o arquivo compressiontype para 0 (STORED)as ferramentas que tentam ler o arquivo assumem que o conteúdo do arquivo está simplesmente armazenado dentro do arquivo ZIP e não compactado.
“Os motores AV confiam no campo Método ZIP. Quando
Method=0 (STORED)eles verificam os dados como bytes brutos não compactados. Mas os dados são, na verdade, compactados DEFLATE – então o scanner vê ruído compactado e não encontra assinaturas.O CRC é definido para a soma de verificação da carga descompactada, criando uma incompatibilidade adicional que faz com que ferramentas de extração padrão (7-Zip, descompacte, WinRAR) relatem erros ou extraiam a saída corrompida.
No entanto, um carregador específico que ignora o método declarado e descompacta como DEFLATE recupera a carga perfeitamente.
A vulnerabilidade é a evasão do scanner: os controles de segurança afirmam ‘nenhum malware presente’ enquanto o malware está presente e é facilmente recuperável pelas ferramentas do invasor.”
Pesquisador de segurança Didier Stevens publicado um método para examinar com segurança o conteúdo de um arquivo ZIP Zombie malformado. Uma maneira de detectar a manipulação é comparar os campos do cabeçalho ZIP compressedsize e uncompressedsize. Se forem diferentes, significa que o arquivo ZIP não está realmente ARMAZENADO, mas compactado.
Não apenas informamos ameaças: nós as removemos
Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.