Μια νέα τεχνική με την ονομασία «Zombie ZIP» βοηθά στην απόκρυψη ωφέλιμων φορτίων σε συμπιεσμένα αρχεία που έχουν δημιουργηθεί ειδικά για την αποφυγή εντοπισμού από λύσεις ασφαλείας, όπως προϊόντα προστασίας από ιούς και εντοπισμού και απόκρισης τελικού σημείου (EDR).
Η προσπάθεια εξαγωγής των αρχείων με τυπικά βοηθητικά προγράμματα όπως το WinRAR ή το 7-Zip οδηγεί σε σφάλματα ή κατεστραμμένα δεδομένα. Η τεχνική λειτουργεί με το χειρισμό των κεφαλίδων ZIP για να ξεγελάσουν τις μηχανές ανάλυσης ώστε να αντιμετωπίζουν τα συμπιεσμένα δεδομένα ως μη συμπιεσμένα.
Αντί να επισημαίνουν το αρχείο ως δυνητικά επικίνδυνο, τα εργαλεία ασφαλείας εμπιστεύονται την κεφαλίδα και σαρώνουν το αρχείο σαν να ήταν αντίγραφο του πρωτοτύπου σε κοντέινερ ZIP.
Η τεχνική «Zombie ZIP» επινοήθηκε από τον ερευνητή ασφαλείας της Bombadil Systems, Chris Aziz, ο οποίος διαπίστωσε ότι λειτουργεί ενάντια σε 50 από τους 51 κινητήρες AV στο VirusTotal.
“Οι μηχανές AV εμπιστεύονται το πεδίο Μέθοδος ZIP. Όταν Μέθοδος=0 (STORED), σαρώνουν τα δεδομένα ως ακατέργαστα ασυμπίεστα byte. Αλλά τα δεδομένα είναι στην πραγματικότητα συμπιεσμένα DEFLATE – έτσι ο σαρωτής βλέπει συμπιεσμένο θόρυβο και δεν βρίσκει υπογραφές.” εξηγεί ο ερευνητής.
Ένας παράγοντας απειλής μπορεί να δημιουργήσει ένα πρόγραμμα φόρτωσης που αγνοεί την κεφαλίδα και αντιμετωπίζει το αρχείο όπως είναι: δεδομένα συμπιεσμένα χρησιμοποιώντας τον τυπικό αλγόριθμο Deflate που χρησιμοποιείται στα σύγχρονα αρχεία ZIP.
Ο ερευνητής δημοσίευσε ένα proof-of-concept (PoC) στο GitHub, μοιράζοντας αρχεία δειγμάτων και πρόσθετες λεπτομέρειες για το πώς λειτουργεί η μέθοδος.
Για να προκαλέσουν τα δημοφιλή εργαλεία εξαγωγής (π.χ. 7-Zip, unzip, WinRAR) να δημιουργήσουν ένα σφάλμα, ο ερευνητής λέει ότι η τιμή CRC που διασφαλίζει την ακεραιότητα των δεδομένων πρέπει να οριστεί στο άθροισμα ελέγχου του ασυμπίεστου ωφέλιμου φορτίου.
“Ωστόσο, ένας ειδικά κατασκευασμένος φορτωτής που αγνοεί τη δηλωμένη μέθοδο και αποσυμπιέζεται καθώς το DEFLATE ανακτά τέλεια το ωφέλιμο φορτίο”, λέει ο Aziz.
Χθες, το Συντονιστικό Κέντρο CERT (CERT/CC) εξέδωσε δελτίο για να προειδοποιήσει για το “Zombie ZIP” και να ευαισθητοποιήσει σχετικά με τους κινδύνους που ενέχουν τα λανθασμένα αρχεία αρχειοθέτησης.
Ενώ μια λανθασμένη κεφαλίδα μπορεί να ξεγελάσει λύσεις ασφαλείας, η υπηρεσία λέει ότι ορισμένα εργαλεία εξαγωγής εξακολουθούν να είναι σε θέση να αποσυμπιέσουν σωστά το αρχείο ZIP.
Το αναγνωριστικό CVE-2026-0866 έχει εκχωρηθεί για το ζήτημα ασφαλείας, το οποίο η υπηρεσία λέει ότι είναι παρόμοιο με ένα θέμα ευπάθειας που αποκαλύφθηκε πριν από περισσότερες από δύο δεκαετίες, το CVE-2004-0935, το οποίο επηρεάζει μια πρώιμη έκδοση του προϊόντος προστασίας από ιούς ESET.
Το CERT/CC προτείνει ότι οι πωλητές εργαλείων ασφαλείας πρέπει να επικυρώνουν τα πεδία μεθόδων συμπίεσης έναντι των πραγματικών δεδομένων, να προσθέτουν μηχανισμούς για τον εντοπισμό ασυνεπειών στη δομή του αρχείου και να εφαρμόζουν πιο επιθετικούς τρόπους επιθεώρησης αρχείων.
Οι χρήστες θα πρέπει να αντιμετωπίζουν τα αρχεία αρχειοθέτησης με προσοχή, ειδικά αυτά που προέρχονται από άγνωστες επαφές, και να τα διαγράφουν αμέσως εάν οι προσπάθειές τους να τα αποσυμπιέσουν τελειώσουν με σφάλμα “μη υποστηριζόμενη μέθοδος”.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
