Исследователи безопасности обнаружили любопытный способ доставки вредоносного ПО, который оставляет почти все антивирусные решения бессильными. Техника получила название Zombie ZIP, и ей уже присвоен идентификатор CVE-2026-0866.
Суть метода в том, что вредоносный файл упаковывается в ZIP-архив особым образом. В заголовке архива указывается, что данные внутри не сжаты, хотя на самом деле они сжаты алгоритмом DEFLATE. Когда антивирус проверяет такой файл, он видит «случайный шум» и не находит совпадений с известными сигнатурами вредоносов. Тестирование показало впечатляющие результаты: 60 из 63 антивирусов не обнаружили угрозу в тестовом файле. В VirusTotal, где проверяют файлы сразу десятки антивирусных движков, лишь один (Kingsoft) смог идентифицировать проблему. Остальные 50, включая Microsoft Defender, Avast, Bitdefender, ESET, Kaspersky и McAfee, пропустили угрозу.
Важно понимать, что речь не идет о взломе через стандартные архиваторы и открыть такой файл обычным 7-Zip, который недавно попал в историю с вирусом, не получится, так как технически архив считается поврежденным из-за несоответствия контрольной суммы. Однако существуют программы-распаковщики, которые игнорируют метаданные и могут извлечь содержимое, более того, злоумышленники могут использовать специальные загрузчики, которые программно восстанавливают исходный вредоносный код.
По сути, это метод обхода защитных периметров, где вредоносный ZIP-файл спокойно проходит через почтовые шлюзы, сетевые сканеры и антивирусы на компьютере, поскольку те считают его безопасным, а уже на устройстве жертвы специальная программа или скрипт извлекает и запускает полезную нагрузку.
Подобные атаки не новы — ранее исследователи уже сталкивались с методами доставки вредоносного ПО через ISO-образы, HTML-страницы или специально сформированные CAB-архивы. Но Zombie ZIP представляет собой свежий вариант старой идеи с рассогласованием данных в заголовке архива, более того сейчас активно развиваются вирусы, которые обращаются за помощью к ИИ. На данный момент производители антивирусов не выпустили обновлений, которые бы гарантированно детектировали эту угрозу. Пользователям рекомендуют проявлять осторожность при загрузке подозрительных ZIP-файлов из непроверенных источников.
А вы проверяете подозрительные файлы антивирусом перед тем, как открыть их на своем компьютере? Рассказывайте в комментариях.