🎁 Zombie ZIP: новый способ прятать малварь внутри архивов Привет, наткнулся на довольно любопытную технику обхода защит под названием Zombie ZIP. Её показал ресерчер Крис Азиз из Bombadil Systems. Суть в том, что вредонос можно спрятать в ZIP-архив так, что антивирусы и EDR его просто не увидят. При этом файл выглядит вполне обычным архивом. ❕ Фокус строится вокруг манипуляции заголовком ZIP. В поле Method ставится значение 0 (STORED), то есть система думает, что данные лежат без сжатия. Но на самом деле внутри используется алгоритм Deflate. Антивирус смотрит на заголовок, верит ему и начинает анализировать файл как обычные сырые байты. В итоге он видит только случайный шум и не может найти сигнатуры малвари. 👨‍💻 У стандартных архиваторов при распаковке такого файла начинаются странности. Например WinRAR или 7-Zip могут показать ошибку или извлечь повреждённые данные. Всё потому, что CRC-контрольная сумма рассчитана для несжатого содержимого. Но если написать простой загрузчик, который игнорирует заголовок и распаковывает данные как Deflate, вредонос достаётся без проблем. ⬇️ PoC уже выложен на GitHub, а CERT/CC присвоил технике CVE-2026-0866. По сути это старый трюк с несоответствием структуры архивов, но в современной экосистеме он снова оказался эффективным. Защитные системы часто доверяют метаданным формата, а не проверяют реальные данные внутри. P. S Я бы на месте разработчиков AV сейчас внимательно смотрел на парсеры архивов. Любая несогласованность заголовков и реальных данных — это потенциальная дыра. #Malware #ZIP #InfoSec 👍 Белый хакер