«Zombie ZIP» permite al malware eludir las herramientas de seguridad

Iniciado por AXCESS, Marzo 13, 2026, 09:47:15 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 13, 2026, 09:47:15 PM


Una nueva técnica, bautizada como "Zombie ZIP", ayuda a ocultar cargas útiles (payloads) dentro de archivos comprimidos creados específicamente para eludir la detección por parte de soluciones de seguridad, tales como antivirus y productos de detección y respuesta en puntos finales (EDR).

Al intentar extraer los archivos mediante utilidades estándar como WinRAR o 7-Zip, el resultado son errores o datos corruptos. La técnica funciona manipulando los encabezados de los archivos ZIP para engañar a los motores de análisis sintáctico, haciendo que estos interpreten los datos comprimidos como si estuvieran sin comprimir.

En lugar de marcar el archivo como potencialmente peligroso, las herramientas de seguridad confían en el encabezado y escanean el archivo como si fuera una copia del original alojada dentro de un contenedor ZIP.

La técnica "Zombie ZIP" fue ideada por Chris Aziz, investigador de seguridad de Bombadil Systems, quien descubrió que resulta efectiva contra 50 de los 51 motores antivirus presentes en VirusTotal.

"Los motores antivirus confían en el campo 'Method' (Método) del archivo ZIP. Cuando el valor de 'Method' es 0 (STORED), escanean los datos como bytes crudos y sin comprimir. Sin embargo, los datos están, en realidad, comprimidos mediante el algoritmo DEFLATE; por consiguiente, el escáner percibe un ruido comprimido y no logra detectar ninguna firma", explica el investigador.

Un actor malicioso puede crear un cargador (loader) que ignore el encabezado y procese el archivo tal como es en realidad: datos comprimidos mediante el algoritmo estándar Deflate, utilizado habitualmente en los archivos ZIP modernos.

El investigador ha publicado una prueba de concepto (PoC) en GitHub, compartiendo archivos de muestra y detalles adicionales sobre el funcionamiento de este método.

Para lograr que las herramientas de extracción más populares (por ejemplo: 7-Zip, unzip, WinRAR) generen un error, el investigador señala que es necesario configurar el valor CRC —el cual garantiza la integridad de los datos— de modo que coincida con la suma de verificación (checksum) de la carga útil sin comprimir.

"No obstante, un cargador diseñado específicamente para este fin —que ignore el método declarado y realice la descompresión utilizando DEFLATE— logra recuperar la carga útil a la perfección", afirma Aziz.

Ayer, el CERT Coordination Center (CERT/CC) publicó un boletín para alertar sobre la técnica "Zombie ZIP" y concienciar a la comunidad sobre los riesgos que conllevan los archivos comprimidos malformados.

Si bien un encabezado malformado puede burlar las soluciones de seguridad, la agencia advierte que algunas herramientas de extracción siguen siendo capaces de descomprimir correctamente el archivo ZIP. Se ha asignado el identificador CVE-2026-0866 al problema de seguridad, el cual, según la agencia, es similar a una vulnerabilidad revelada hace más de dos décadas —la CVE-2004-0935— que afectaba a una versión temprana del producto antivirus de ESET.

El CERT/CC propone que los proveedores de herramientas de seguridad validen los campos de métodos de compresión cotejándolos con los datos reales, incorporen mecanismos para detectar inconsistencias en la estructura de los archivos e implementen modos de inspección de archivos más rigurosos.

Los usuarios deben tratar los archivos comprimidos con precaución —especialmente aquellos provenientes de contactos desconocidos— y eliminarlos de inmediato si sus intentos de descompresión resultan en un error de «método no compatible».

Los investigadores cuestionan la vulnerabilidad

Varios investigadores de ciberseguridad afirman que, a su juicio, este método no debería clasificarse como una vulnerabilidad ni haber recibido un identificador CVE.

Argumentan que, si bien constituye un método válido para distribuir malware, también corrompe el archivo fuera de su estructura habitual, lo que impide que las herramientas de extracción de archivos ZIP y los antivirus puedan extraer los ficheros correctamente y analizarlos en busca de software malicioso.

«Lo que hace que el CVE-2026-0866 no sea una vulnerabilidad real es que los archivos ZIP modificados de esta nueva manera NO pueden abrirse en el sistema de destino. Por consiguiente, no se trata de una vulnerabilidad», declaró un investigador que solicitó permanecer en el anonimato.

Además, dado que para extraer los archivos es necesario ejecutar un cargador personalizado en el dispositivo, dicho dispositivo ya se encuentra comprometido de antemano.

«No acabo de entender por qué esto se considera un CVE si los descompresores estándar no logran desempaquetar estos archivos ZIP», cuestionó Karsten Hahn, investigador de GData.

«Si se corrompe o se cifra cualquier archivo y es necesario implementar un cargador personalizado para extraerlo, el resultado es exactamente el mismo».

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario