A corrida armamentista da cibersegurança continua: os métodos de invasão de computadores e as contramedidas estão se tornando cada vez mais sofisticados, mas mesmo hoje, vulnerabilidades relativamente simples estão surgindo, permitindo que malwares burlem a proteção antivírus. Uma dessas vulnerabilidades é conhecida como Zombie ZIP.
Fonte da imagem: Desola Lanre-Ologun / unsplash.com
A ideia é simples. O cabeçalho, a seção inicial de um arquivo ZIP, normalmente contém informações sobre o conteúdo do arquivo e o método de compressão. No entanto, ao criar um arquivo cujo cabeçalho afirma falsamente que seu conteúdo está descompactado, a maioria dos programas antivírus não o analisa. Isso ocorre porque esses dados “descompactados” aparecem para o software antivírus como bytes aleatórios, o que significa que não correspondem às assinaturas de malware conhecidos. Atualmente, 60 dos 63 programas antivírus falham em detectar esse truque, representando uma taxa de sucesso de mais de 95%.
Um arquivo compactado criado dessa forma não pode ser extraído usando o 7-Zip ou o WinRAR porque é tecnicamente considerado corrompido. No entanto, um pequeno aplicativo usado em conjunto com o compactador pode detectar essa discrepância. O pesquisador que descobriu essa vulnerabilidade resolveu o problema com apenas 12 linhas de código Python. A vulnerabilidade recebeu o identificador CVE-2026-0866. Até que o software antivírus consiga detectar ataques de ZIP zumbi, recomenda-se cautela ao lidar com arquivos compactados transferidos por redes.