Uma nova tática maliciosa apelidada de Zombie ZIP está a permitir que piratas informáticos escondam cargas perigosas dentro de ficheiros comprimidos. O objetivo é contornar a deteção por parte de soluções tradicionais de segurança, como programas antivírus e sistemas de deteção e resposta em terminais (EDR). A informação foi detalhada num boletim de segurança publicado pelo CERT Coordination Center, alertando para os riscos destes formatos adulterados.
Como funciona a ilusão nos cabeçalhos
A descoberta foi feita por Chris Aziz, um investigador de segurança da Bombadil Systems. A técnica baseia-se na manipulação do cabeçalho do formato ZIP, enganando os motores de análise para que tratem a informação comprimida como se fossem bytes em bruto. Durante os seus testes, o especialista concluiu que o método teve sucesso a contornar as defesas de 50 dos 51 motores de segurança presentes no VirusTotal.
O truque reside no campo de método do ZIP. Ao definir este valor para zero, os sistemas de defesa assumem que a informação não tem compressão e analisam-na dessa forma. No entanto, o conteúdo está, na realidade, comprimido com o algoritmo DEFLATE comum. Assim, o sistema de segurança apenas processa o que considera ser ruído, falhando por completo na identificação de assinaturas de software malicioso.
O perigo silencioso e a resposta recomendada
Se um utilizador comum tentar extrair este tipo de conteúdo com utilitários normais, como o WinRAR ou o 7-Zip, irá deparar-se imediatamente com erros ou informações corrompidas. Isto acontece porque o valor de verificação de integridade é alterado para corresponder à carga original não comprimida. Contudo, os atacantes utilizam programas de carregamento desenhados propositadamente para ignorar a declaração falsa e descompactar o código nocivo. O investigador já publicou uma prova de conceito no GitHub para explicar a mecânica do processo.
O problema de segurança recebeu a identificação oficial CVE-2026-0866 e partilha semelhanças com uma falha muito mais antiga, de 2004, que afetou produtos de segurança da ESET. As autoridades propõem que as empresas de cibersegurança passem a validar os campos do método de compressão com os dados reais e apliquem medidas de inspeção mais profundas. Para o público em geral, a regra de ouro mantém-se: tratar os ficheiros de contactos desconhecidos com enorme precaução e eliminá-los de imediato se surgir um aviso de método não suportado durante a extração.
Nenhum comentário
Seja o primeiro!