Pesquisadores de segurança identificaram uma nova técnica capaz de ocultar códigos maliciosos dentro de arquivos ZIP aparentemente comuns, permitindo que ameaças passem despercebidas por ferramentas de segurança. O método recebeu o nome de Zombie ZIP e explora uma falha na forma como antivírus e sistemas corporativos analisam arquivos compactados.
A descoberta foi feita por Chris Aziz, pesquisador da empresa Bombadil Systems. A técnica manipula informações internas do arquivo ZIP, conhecidas como metadados, para confundir mecanismos de verificação utilizados por antivírus e sistemas de monitoramento avançado.
Como funciona a manipulação do arquivo
Todo arquivo ZIP possui um conjunto de informações chamado cabeçalho, que descreve detalhes sobre o conteúdo compactado. Entre esses dados está o chamado Method field, responsável por indicar qual algoritmo de compressão foi utilizado.
Um dos métodos mais comuns é o DEFLATE, responsável por reduzir o tamanho dos arquivos através de compressão matemática. Existe também a opção STORED, identificada pelo código Method=0, que indica que o arquivo foi incluído no ZIP sem compressão.
Ferramentas de segurança utilizam esse campo como referência para decidir como processar o conteúdo antes de analisá-lo. A técnica Zombie ZIP explora exatamente essa confiança.
O atacante cria um arquivo que declara no cabeçalho utilizar o método STORED, mas na prática os dados foram comprimidos com DEFLATE. Quando o antivírus tenta examinar o conteúdo, ele interpreta os dados como se fossem informações brutas e legíveis.
O resultado é uma sequência de bytes aparentemente sem sentido. Como o sistema não consegue reconhecer padrões conhecidos de malware, chamados de assinaturas, o arquivo acaba passando pela análise sem gerar alertas.
Arquivo parece apenas corrompido
Quando o usuário tenta abrir o arquivo utilizando programas populares como WinRAR ou 7-Zip, a extração geralmente falha e exibe mensagens de erro relacionadas a dados corrompidos ou métodos incompatíveis.
Isso ocorre porque os arquivos ZIP também incluem um valor chamado CRC, uma espécie de impressão digital matemática usada para verificar a integridade do conteúdo. No caso do Zombie ZIP, esse valor é calculado a partir do arquivo original antes da compressão, criando uma inconsistência que faz o programa interromper a extração.
Para muitos usuários, esse comportamento pode parecer apenas um arquivo danificado, o que reduz a suspeita de que se trata de uma ameaça.
Como o malware é recuperado
Apesar de parecer corrompido, o conteúdo malicioso permanece intacto dentro do arquivo. O atacante utiliza um programa auxiliar, conhecido como loader, que ignora o campo de método no cabeçalho e trata diretamente os dados como se estivessem comprimidos com DEFLATE.
Esse loader consegue descompactar corretamente o conteúdo, recuperar o payload, o código malicioso escondido, e executá-lo no sistema comprometido sem levantar suspeitas nas ferramentas de segurança.
Testes mostraram alta taxa de evasão
Para avaliar o impacto da técnica, Aziz submeteu arquivos preparados com Zombie ZIP à plataforma VirusTotal, que analisa amostras com dezenas de motores antivírus simultaneamente.
O resultado foi preocupante: 50 dos 51 motores de detecção falharam em identificar qualquer atividade maliciosa.
O caso chamou atenção do CERT Coordination Center (CERT/CC), que publicou um alerta oficial e registrou a vulnerabilidade sob o identificador CVE-2026-0866.
Especialistas também apontaram semelhanças com uma falha antiga catalogada como CVE-2004-0935, descoberta há mais de duas décadas em versões antigas de antivírus. O episódio demonstra que manipulações de metadados em arquivos compactados continuam sendo uma superfície de ataque relevante.
O que precisa mudar
Especialistas defendem que fabricantes de antivírus e plataformas de Endpoint Detection and Response (EDR) passem a validar não apenas o que o cabeçalho do arquivo declara, mas também se os dados internos realmente correspondem ao método informado.
Inconsistências entre os metadados e o conteúdo real do arquivo deveriam ser tratadas como sinal imediato de comportamento suspeito.
Para usuários comuns, a recomendação continua sendo cautela ao lidar com arquivos ZIP recebidos por e-mail, mensagens ou downloads desconhecidos. Se um arquivo apresentar erros de extração ou indicar método incompatível, o mais seguro é excluí-lo imediatamente, pois esse comportamento pode ser exatamente parte da estratégia utilizada pelo atacante.
