Рига: +8.3°С
Новая угроза в мире архивов: что такое «Зомби-ZIP»
В сфере информационной безопасности вновь зафиксировано обнаружение относительно простого, но крайне эффективного метода обхода систем защиты. Новая техника, получившая название «Зомби-ZIP» (Zombie ZIP), позволяет злоумышленникам маскировать вредоносное программное обеспечение внутри обычных на вид ZIP-архивов, что обеспечивает прохождение проверки большинством существующих антивирусных решений и продуктов Endpoint Detection and Response (EDR). Эта уязвимость, которой присвоен идентификатор CVE-2026-0866, эксплуатирует фундаментальные расхождения в том, как инструменты безопасности и стандартные архиваторы обрабатывают метаданные ZIP-контейнеров.
Угроза получила общественный резонанс в середине марта 2026 года, когда исследователь Крис Азиз из компании Bombadil Systems представил доказательства ее работоспособности. Прототип техники, опубликованный на платформе GitHub, продемонстрировал ошеломляющие результаты: в ходе тестирования на популярной платформе VirusTotal только один из 51 протестированного антивирусного движка смог обнаружить скрытую угрозу. Подобная статистика ставит под вопрос надежность автоматизированной проверки файлов в архивах.
Механизм обхода: доверяй, но проверяй заголовок
Суть атаки «Зомби-ZIP» кроется в манипуляции заголовками ZIP-архива. Стандартная спецификация ZIP-формата включает поле, указывающее на метод сжатия данных, хранящихся в архиве. Антивирусные сканеры, стремясь оптимизировать процесс и избежать ресурсоемкого распаковывания каждого файла, часто доверяют этому полю.
В случае «Зомби-ZIP» злоумышленник устанавливает в заголовке флаг, указывающий, что данные не сжаты (Method=0, категория STORED). Однако фактическое содержимое файла на самом деле сжато с использованием стандартного алгоритма DEFLATE. «Антивирусные движки доверяют полю “Метод ZIP”. Когда Method=0 (STORED), они сканируют данные как необработанные несжатые байты. Но данные фактически сжаты с помощью алгоритма DEFLATE — поэтому сканер видит сжатый шум и не находит сигнатур», — поясняет принцип работы техники Крис Азиз.
Для систем безопасности, сканирующих данные как «сырой» несжатый поток байтов, вредоносный код, скрытый в сжатом виде, выглядит как случайный, нечитаемый набор данных, не соответствующий известным сигнатурам вирусов.
Последствия для стандартных утилит и восстановительный загрузчик
Одним из характерных признаков файла, созданного по технике «Зомби-ZIP», является его неработоспособность в стандартных утилитах. При попытке извлечь содержимое с помощью популярных программ, таких как WinRAR или 7-Zip, пользователи сталкиваются с ошибками или повреждением данных. Это происходит, в частности, потому, что исследователь установил значение поля CRC (контрольная сумма, гарантирующая целостность) как контрольную сумму несжатого полезного груза, что противоречит заявленному методу STORED.
Попытки извлечения файлов с помощью стандартных утилит, таких как WinRAR или 7-Zip, приводят к ошибкам или повреждению данных, так как архив технически некорректен с точки зрения утилит, следующих строгим стандартам.
Однако для злоумышленника это не является препятствием. Вредоносное ПО доставляется вместе со специально разработанным загрузчиком (loader). Этот загрузчик игнорирует некорректный заголовок, обращаясь непосредственно к данным и применяя к ним алгоритм DEFLATE, тем самым корректно восстанавливая и запуская вредоносный контент. Эта двойственность — нечитаемость для защиты и полная работоспособность для эксплойта — делает технику особенно опасной.
Реакция регуляторов и рекомендации экспертов
Координационный центр CERT/CC оперативно отреагировал на публикацию, выпустив бюллетень с предупреждением о CVE-2026-0866. Эксперты центра отмечают, что эта уязвимость имеет исторический прецедент: она схожа с CVE-2004-0935, обнаруженной более двадцати лет назад и затрагивавшей ранние версии антивирусного ПО ESET.
Рекомендации CERT/CC сосредоточены на необходимости пересмотра логики анализа архивов в защитных продуктах. В частности, поставщикам решений по безопасности советуют:
- Проверять заявленное поле метода сжатия на соответствие фактическим характеристикам содержимого файла.
- Внедрять механизмы для обнаружения структурных несоответствий внутри архива.
- Использовать более агрессивные режимы проверки при работе с архивными файлами.
Хотя Cisco подтвердила, что их продукт ClamAV подвержен данной проблеме, компания классифицировала это скорее как «предложение по усилению», а не как критическую уязвимость, требующую немедленного исправления, что вызывает вопросы среди специалистов по кибербезопасности.
Импликации для бизнеса и пользователей в Балтийском регионе
Хотя прямых сообщений о масштабных атаках, использующих «Зомби-ZIP» в Латвии или соседних странах на момент публикации, нет, подобные универсальные уязвимости представляют собой серьезный риск для корпоративного сектора. Организации, активно обменивающиеся данными через электронную почту или обрабатывающие пользовательский контент (например, веб-порталы, облачные хранилища), попадают в зону повышенного риска. Простота создания такого файла — всего несколько строк кода на Python — делает этот метод доступным для широкого круга киберпреступников.
Обычным пользователям эксперты настоятельно рекомендуют соблюдать осторожность при работе с любыми архивными файлами, полученными из ненадежных источников, особенно если попытки стандартного распаковывания завершаются сообщением о «неподдерживаемом методе» или ошибке целостности. В таких случаях файл следует немедленно удалить, не пытаясь вскрыть его дополнительными средствами.
Следите за новостями на других платформах: