Arquivos ZIP sempre foram considerados uma forma relativamente segura de compartilhar conteúdos compactados. No entanto, uma nova técnica descoberta recentemente demonstra que até formatos amplamente confiáveis podem ser manipulados para enganar sistemas de segurança.
Conhecida como Zombie ZIP, essa abordagem permite esconder código malicioso dentro de um arquivo aparentemente comum, explorando uma inconsistência entre os metadados declarados no cabeçalho do arquivo e os dados reais contidos nele. O resultado é preocupante: ferramentas de segurança podem analisar o arquivo e concluir que ele é inofensivo, mesmo quando um payload malicioso está presente.
Neste artigo, você vai entender como funciona a técnica Zombie ZIP, por que ela consegue burlar antivírus e EDRs e quais são os impactos dessa descoberta para empresas e profissionais de segurança da informação.
O que é a técnica Zombie ZIP
Zombie ZIP é um método de evasão que manipula os metadados de arquivos ZIP para impedir que mecanismos de segurança consigam analisar corretamente seu conteúdo.
O princípio é relativamente simples: o arquivo afirma, em seu cabeçalho, que utiliza um método específico de compressão, enquanto os dados reais foram comprimidos usando outro algoritmo.
Essa discrepância cria uma situação em que ferramentas de segurança interpretam o conteúdo de maneira incorreta, tornando a detecção de malware extremamente difícil.
Como funciona a estrutura de um arquivo ZIP
Para entender a técnica, é necessário compreender rapidamente como um arquivo ZIP é estruturado.
Um ZIP possui dois elementos principais:
-
Dados comprimidos, que correspondem ao conteúdo real do arquivo
-
Cabeçalho (header), que contém metadados sobre como os dados foram armazenados
Entre os campos do cabeçalho existe um parâmetro fundamental chamado Method field, responsável por indicar o algoritmo de compressão utilizado.
Os dois métodos mais comuns são:
STORED (Method = 0)Indica que o arquivo foi armazenado no ZIP sem compressão.
DEFLATE (Method = 8)O algoritmo de compressão mais utilizado em arquivos ZIP, responsável por reduzir o tamanho dos dados.
Ferramentas de segurança normalmente consultam esse campo para decidir como interpretar o conteúdo antes de analisá-lo.
A manipulação explorada pelo Zombie ZIP
A técnica Zombie ZIP explora exatamente esse mecanismo.
O atacante cria um arquivo com a seguinte inconsistência:
-
O cabeçalho declara Method = STORED
-
Os dados reais estão comprimidos com DEFLATE
Quando um antivírus ou sistema de monitoramento lê o arquivo, ele acredita que o conteúdo está armazenado sem compressão. Dessa forma, tenta analisar os bytes como se fossem dados brutos.
O problema é que os bytes, na realidade, ainda estão comprimidos. Isso gera uma sequência aparentemente aleatória de dados que não corresponde a nenhum padrão de malware conhecido.
Como consequência, o mecanismo de detecção não identifica assinaturas maliciosas e o arquivo passa pela análise sem gerar alertas.
Por que o arquivo parece apenas corrompido
Quando o usuário tenta abrir o arquivo com ferramentas populares de compactação, como WinRAR ou 7-Zip, o resultado costuma ser uma mensagem de erro.
Isso acontece porque o ZIP também inclui um mecanismo de verificação chamado CRC (Cyclic Redundancy Check), que funciona como uma impressão digital matemática dos dados.
No caso do Zombie ZIP, o CRC é calculado a partir do arquivo original, antes da compressão. Como o cabeçalho indica que os dados não estão comprimidos, o programa de extração detecta uma inconsistência entre o conteúdo e o valor de verificação.
O resultado é um erro de integridade ou método não suportado.
Do ponto de vista do usuário, o comportamento parece apenas um arquivo danificado, o que diminui a probabilidade de suspeita.
Como o malware é recuperado pelo atacante
Apesar da falha aparente na extração, o conteúdo malicioso continua intacto dentro do arquivo.
O ataque depende da utilização de um componente adicional conhecido como loader.
Esse programa ignora completamente o campo Method do cabeçalho e trata os dados diretamente como se estivessem comprimidos com DEFLATE. Ao realizar a descompressão correta, o loader consegue recuperar o payload original e executá-lo no sistema.
Como o arquivo passou despercebido pela análise inicial das ferramentas de segurança, o malware pode ser ativado sem levantar alertas.
Testes mostram baixa taxa de detecção
A técnica foi testada contra dezenas de motores de antivírus disponíveis em plataformas de análise de malware.
Os resultados indicaram uma taxa extremamente baixa de detecção, evidenciando que muitas ferramentas ainda confiam exclusivamente nas informações declaradas no cabeçalho do arquivo.
Esse comportamento mostra uma fragilidade estrutural na forma como arquivos compactados são analisados por diversos mecanismos de segurança.
Relação com vulnerabilidades antigas
Manipulações de metadados em arquivos comprimidos não são completamente novas. Existem registros de vulnerabilidades semelhantes desde o início dos anos 2000.
No entanto, a técnica Zombie ZIP demonstra que esse tipo de problema ainda não foi totalmente resolvido pela indústria de segurança, especialmente em mecanismos automatizados de inspeção.
Isso reforça a necessidade de evoluir as estratégias de análise para além da simples leitura de metadados.
O que precisa mudar nos mecanismos de detecção
A principal falha explorada pela técnica está na confiança excessiva em informações fornecidas pelo próprio arquivo.
Ferramentas de segurança deveriam realizar verificações adicionais, como:
-
validar se o método de compressão declarado corresponde ao formato real dos dados
-
analisar os bytes independentemente do cabeçalho
-
identificar inconsistências entre metadados e estrutura do conteúdo
Arquivos que apresentem esse tipo de discrepância deveriam ser tratados automaticamente como artefatos suspeitos.
Boas práticas para reduzir o risco
Embora a solução definitiva dependa de melhorias nos motores de análise de segurança, algumas medidas podem reduzir a exposição a esse tipo de técnica.
Entre as principais recomendações estão:
Evitar abrir arquivos ZIP de fontes desconhecidasEspecialmente quando recebidos por e-mail, mensageiros ou downloads não verificados.
Desconfiar de erros de extração inesperadosMensagens como “arquivo corrompido” ou “método não suportado” podem indicar manipulação intencional.
Utilizar soluções de segurança atualizadasFerramentas modernas de EDR e sandboxing comportamental podem detectar atividades suspeitas mesmo quando o arquivo inicial não é identificado como malicioso.
O impacto da técnica para a cibersegurança
O Zombie ZIP reforça uma lição importante na área de segurança da informação: dados controlados por um atacante nunca devem ser considerados confiáveis.
Metadados, cabeçalhos e informações declaradas dentro de arquivos podem ser manipulados de diversas maneiras para enganar mecanismos automatizados de defesa.
À medida que ferramentas de segurança evoluem, técnicas de evasão também se tornam mais sofisticadas. Por isso, a análise de ameaças precisa combinar diferentes abordagens, incluindo validação estrutural de arquivos, análise comportamental e inspeção em ambientes isolados.
A técnica Zombie ZIP demonstra como uma simples inconsistência em metadados pode comprometer o funcionamento de diversos mecanismos de segurança.
Ao manipular o cabeçalho de um arquivo ZIP, atacantes conseguem criar artefatos que parecem inofensivos para antivírus e EDRs, mas que ainda carregam código malicioso pronto para ser executado por um loader.
Para organizações e equipes de segurança, o caso serve como alerta sobre a importância de validar a integridade real dos dados e não confiar apenas em informações declaradas dentro de arquivos.
À medida que novas técnicas de evasão surgem, investir em estratégias de detecção mais robustas e análise aprofundada de artefatos digitais torna-se essencial para reduzir o risco de comprometimento.
