Una nuova tecnica denominata Zombie ZIP dimostra come sia possibile aggirare i sistemi antivirus manipolando il formato degli archivi compressi. Il metodo sfrutta una discrepanza tra le informazioni dichiarate negli header ZIP e il contenuto reale dell’archivio, permettendo a un payload malevolo di passare inosservato ai controlli automatici. I ricercatori hanno dimostrato che questa tecnica riesce a ingannare quasi tutti i motori di sicurezza testati, con 50 su 51 antivirus incapaci di rilevare il contenuto nascosto durante le scansioni. La scoperta, pubblicata nel 2026 dal ricercatore Chris Aziz di Bombadil Systems, mostra come la fiducia eccessiva degli scanner nei metadati degli archivi possa essere sfruttata per nascondere malware. Alla tecnica è stata assegnata la CVE-2026-0866, mentre CERT/CC ha pubblicato un avviso ufficiale che invita i vendor di sicurezza a rafforzare i controlli sui file compressi.
Cosa leggere
Come funziona la tecnica Zombie ZIP
La tecnica Zombie ZIP sfrutta un comportamento specifico del formato ZIP. All’interno dell’header dell’archivio esiste un campo chiamato Method, che indica il tipo di compressione utilizzato per i dati contenuti nel file. Il valore 0 segnala che i dati sono memorizzati senza compressione, mentre la maggior parte degli archivi moderni utilizza il metodo DEFLATE, uno dei sistemi di compressione più diffusi. Nel caso di Zombie ZIP gli sviluppatori creano archivi manipolati in cui il campo Method viene impostato a 0, dichiarando quindi che i dati non sono compressi. In realtà il contenuto del file è compresso con DEFLATE. Questo disallineamento tra header e contenuto genera confusione nei parser dei software antivirus. Gli scanner leggono l’header e si fidano dell’informazione dichiarata. Poiché il campo Method indica dati non compressi, il motore di scansione analizza i byte dell’archivio come se fossero dati normali. In realtà questi byte rappresentano uno stream compresso, che appare come rumore casuale e non corrisponde a nessuna firma malware conosciuta. Di conseguenza il payload malevolo rimane invisibile durante l’analisi.
Perché gli antivirus non rilevano il malware
Il problema principale nasce dal fatto che molti motori antivirus analizzano gli archivi compressi basandosi esclusivamente sulle informazioni contenute nell’header. In altre parole, il software presume che il campo Method descriva correttamente il contenuto del file e non verifica se i dati corrispondano realmente al metodo indicato. Nel caso di Zombie ZIP, questa fiducia porta lo scanner a interpretare lo stream compresso come dati non compressi. Poiché il contenuto appare incomprensibile, le firme malware non vengono rilevate. Nei test effettuati su VirusTotal, il file di prova con la tecnica Zombie ZIP ha attivato un solo rilevamento su oltre sessanta motori, mentre lo stesso payload inserito in un archivio ZIP normale generava più di cinquanta rilevamenti. L’unico motore che ha identificato l’anomalia nei test pubblici è stato Kingsoft, probabilmente grazie a controlli aggiuntivi sulla struttura dell’archivio.
Il ruolo del CRC e degli errori di decompressione
Un altro elemento utilizzato nella tecnica Zombie ZIP riguarda il CRC, il valore di controllo utilizzato dagli archivi ZIP per verificare l’integrità dei dati. Nel proof-of-concept il CRC viene calcolato sul contenuto decompresso, mentre l’archivio dichiara che i dati non sono compressi. Quando un utente tenta di aprire il file con strumenti comuni come 7-Zip o WinRAR, il programma rileva un errore di integrità e segnala l’archivio come corrotto. Questo comportamento contribuisce a nascondere ulteriormente il payload, poiché gli utenti tendono semplicemente a eliminare il file pensando che sia danneggiato. Il malware reale non utilizza però gli strumenti standard di decompressione. Gli attaccanti integrano invece loader personalizzati capaci di ignorare le informazioni presenti nell’header e decomprimere direttamente lo stream con librerie come zlib, recuperando così il payload originale.
Il proof-of-concept pubblicato su GitHub
Per dimostrare il funzionamento della tecnica, i ricercatori hanno pubblicato un proof-of-concept su GitHub che include script Python capaci di generare archivi Zombie ZIP. Lo script principale, chiamato zombie_zip.py, crea un archivio chiamato method_mismatch.zip che contiene la stringa di test EICAR, comunemente utilizzata per verificare il funzionamento degli antivirus. Il file generato dichiara di contenere dati non compressi, ma in realtà utilizza compressione DEFLATE. Nei test su VirusTotal il file con il metodo corretto viene rilevato da oltre cinquanta motori antivirus, mentre la versione Zombie ZIP passa quasi completamente inosservata. Il repository include anche uno script chiamato loader_poc.py, che dimostra come un programma possa ignorare l’header e decomprimere direttamente i dati con la funzione zlib.decompress. L’output ottenuto corrisponde perfettamente al payload originale, verificato tramite hash SHA-256.
Dibattito sulla classificazione come vulnerabilità
Non tutti gli esperti concordano sulla classificazione della tecnica come vulnerabilità vera e propria. Alcuni ricercatori sostengono che gli archivi Zombie ZIP non rappresentino un rischio reale perché non possono essere aperti correttamente dagli strumenti di decompressione standard. Secondo questa interpretazione, un file che non può essere estratto da programmi comuni non rappresenta un vettore di attacco pratico. Altri esperti, tra cui analisti di sicurezza aziendale, ritengono invece che la tecnica sia pericolosa perché consente di aggirare i controlli di sicurezza nei gateway email, negli EDR e nei sistemi di scanning automatico. In uno scenario reale, un archivio Zombie ZIP potrebbe attraversare i sistemi di sicurezza aziendali senza essere rilevato. Una volta raggiunto il sistema della vittima, un malware già presente o un loader integrato potrebbe estrarre il payload nascosto.
Connessioni con vulnerabilità storiche del formato ZIP
La tecnica Zombie ZIP non è completamente nuova nel panorama della sicurezza informatica. Già nel 2004 erano stati individuati problemi simili legati alla gestione degli archivi ZIP malformati, documentati nella vulnerabilità CVE-2004-0935 e nell’avviso VU#968818. La differenza principale è che le tecniche precedenti sfruttavano bug specifici nei parser dei software di decompressione, mentre Zombie ZIP sfrutta una debolezza concettuale nel modo in cui gli scanner interpretano i metadati degli archivi. Questo tipo di attacco rientra nella categoria delle tecniche di format abuse, ovvero l’uso creativo delle specifiche di un formato di file per ingannare i sistemi di sicurezza.
Implicazioni per la sicurezza aziendale
L’esistenza di tecniche come Zombie ZIP dimostra quanto sia complesso analizzare in modo affidabile file compressi e archivi. Gli archivi ZIP vengono utilizzati quotidianamente per distribuire software, documenti e aggiornamenti, rendendo difficile bloccarli completamente nei sistemi aziendali. Gli esperti suggeriscono che i motori antivirus dovrebbero adottare controlli più aggressivi, verificando la coerenza tra il metodo di compressione dichiarato e il contenuto reale del file. Un altro approccio consiste nel forzare la decompressione dei dati durante la scansione, evitando di fidarsi esclusivamente degli header. Anche i sistemi di sicurezza comportamentale, come gli EDR, possono svolgere un ruolo importante rilevando attività sospette durante l’esecuzione di loader o processi di decompressione anomali.
Evoluzione delle tecniche di evasione malware
Zombie ZIP rappresenta l’ennesimo esempio di come i cybercriminali continuino a sviluppare metodi innovativi per aggirare i sistemi di difesa. Negli ultimi anni le campagne malware hanno adottato numerose tecniche di evasione, tra cui archivi multi-parte, file compressi annidati e documenti con payload offuscati. Queste strategie mirano tutte allo stesso obiettivo: superare i controlli di sicurezza iniziali per consegnare il malware alla vittima. Una volta che il payload raggiunge l’endpoint, il malware può utilizzare tecniche aggiuntive per stabilire la persistenza nel sistema. La pubblicazione del proof-of-concept Zombie ZIP ha già spinto diversi vendor di sicurezza ad aggiornare i propri motori di scansione per identificare archivi con metadati incoerenti. Tuttavia, come spesso accade nel campo della cybersecurity, la divulgazione di nuove tecniche rappresenta anche un incentivo per i criminali a sperimentare varianti più sofisticate.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
