📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova técnica chamada “Zombie ZIP” ajuda a ocultar cargas em arquivos compactados especialmente criados para evitar a detecção de soluções de segurança, como antivírus e produtos de detecção e resposta de endpoint (EDR).
Tentar extrair os arquivos com utilitários padrão, como WinRAR ou 7-Zip, resulta em erros ou dados corrompidos. A técnica funciona manipulando cabeçalhos ZIP para enganar os mecanismos de análise e tratá-los como descompactados.
Em vez de sinalizar o arquivo como potencialmente perigoso, as ferramentas de segurança confiam no cabeçalho e verificam o arquivo como se fosse uma cópia do original em um contêiner ZIP.
A técnica “Zombie ZIP” foi desenvolvida pelo pesquisador de segurança da Bombadil Systems, Chris Aziz, que descobriu que funciona contra 50 dos 51 mecanismos AV do VirusTotal.
"Os mecanismos AV confiam no campo ZIP Method. Quando Method=0 (STORED), eles verificam os dados como bytes brutos não compactados. Mas os dados são, na verdade, compactados DEFLATE - então o scanner vê ruído compactado e não encontra assinaturas", explica o pesquisador.
Um agente de ameaça pode criar um carregador que ignora o cabeçalho e trata o arquivo como ele é: dados compactados usando o algoritmo Deflate padrão usado em arquivos ZIP modernos.
O pesquisador publicou uma prova de conceito (PoC) no GitHub, compartilhando arquivos de amostra e detalhes adicionais sobre como o método funciona.
Para fazer com que ferramentas de extração populares (por exemplo, 7-Zip, unzip, WinRAR) gerem um erro, o pesquisador diz que o valor CRC que garante a integridade dos dados deve ser definido como a soma de verificação da carga útil descompactada.
“No entanto, um carregador específico que ignora o método declarado e descompacta como DEFLATE recupera a carga perfeitamente”, diz Aziz.
Ontem, o Centro de Coordenação do CERT (CERT/CC) publicou um boletim para alertar sobre o “Zombie ZIP” e aumentar a conscientização sobre os riscos representados por arquivos malformados.
Embora um cabeçalho malformado possa enganar as soluções de segurança, a agência afirma que algumas ferramentas de extração ainda são capazes de descompactar corretamente o arquivo ZIP.
O identificador CVE-2026-0866 foi atribuído para o problema de segurança, que a agência afirma ser semelhante a uma vulnerabilidade divulgada há mais de duas décadas, CVE-2004-0935, que afeta uma versão inicial do produto antivírus ESET.
O CERT/CC propõe que os fornecedores de ferramentas de segurança validem os campos do método de compactação em relação aos dados reais, adicionem mecanismos para detectar inconsistências na estrutura do arquivo e implementem modos de inspeção de arquivo mais agressivos.
Os usuários devem tratar os arquivos compactados com cuidado, especialmente aqueles de contatos desconhecidos, e excluí-los imediatamente se suas tentativas de descompactá-los terminarem com um erro de “método não suportado”.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
Tentar extrair os arquivos com utilitários padrão, como WinRAR ou 7-Zip, resulta em erros ou dados corrompidos. A técnica funciona manipulando cabeçalhos ZIP para enganar os mecanismos de análise e tratá-los como descompactados.
Em vez de sinalizar o arquivo como potencialmente perigoso, as ferramentas de segurança confiam no cabeçalho e verificam o arquivo como se fosse uma cópia do original em um contêiner ZIP.
A técnica “Zombie ZIP” foi desenvolvida pelo pesquisador de segurança da Bombadil Systems, Chris Aziz, que descobriu que funciona contra 50 dos 51 mecanismos AV do VirusTotal.
"Os mecanismos AV confiam no campo ZIP Method. Quando Method=0 (STORED), eles verificam os dados como bytes brutos não compactados. Mas os dados são, na verdade, compactados DEFLATE - então o scanner vê ruído compactado e não encontra assinaturas", explica o pesquisador.
Um agente de ameaça pode criar um carregador que ignora o cabeçalho e trata o arquivo como ele é: dados compactados usando o algoritmo Deflate padrão usado em arquivos ZIP modernos.
O pesquisador publicou uma prova de conceito (PoC) no GitHub, compartilhando arquivos de amostra e detalhes adicionais sobre como o método funciona.
Para fazer com que ferramentas de extração populares (por exemplo, 7-Zip, unzip, WinRAR) gerem um erro, o pesquisador diz que o valor CRC que garante a integridade dos dados deve ser definido como a soma de verificação da carga útil descompactada.
“No entanto, um carregador específico que ignora o método declarado e descompacta como DEFLATE recupera a carga perfeitamente”, diz Aziz.
Ontem, o Centro de Coordenação do CERT (CERT/CC) publicou um boletim para alertar sobre o “Zombie ZIP” e aumentar a conscientização sobre os riscos representados por arquivos malformados.
Embora um cabeçalho malformado possa enganar as soluções de segurança, a agência afirma que algumas ferramentas de extração ainda são capazes de descompactar corretamente o arquivo ZIP.
O identificador CVE-2026-0866 foi atribuído para o problema de segurança, que a agência afirma ser semelhante a uma vulnerabilidade divulgada há mais de duas décadas, CVE-2004-0935, que afeta uma versão inicial do produto antivírus ESET.
O CERT/CC propõe que os fornecedores de ferramentas de segurança validem os campos do método de compactação em relação aos dados reais, adicionem mecanismos para detectar inconsistências na estrutura do arquivo e implementem modos de inspeção de arquivo mais agressivos.
Os usuários devem tratar os arquivos compactados com cuidado, especialmente aqueles de contatos desconhecidos, e excluí-los imediatamente se suas tentativas de descompactá-los terminarem com um erro de “método não suportado”.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #nova #técnica #‘zombie #zip’ #permite #que #malware #passe #por #ferramentas #de #segurança
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário