Um pesquisador de segurança identificou uma técnica inédita capaz de esconder código malicioso dentro de arquivos ZIP comuns, burlando a varredura de praticamente todos os antivírus do mercado.
A descoberta foi feita por Chris Aziz, da empresa Bombadil Systems, e recebeu o nome de Zombie ZIP. O método funciona manipulando os metadados do arquivo, que são as informações internas que descrevem como o conteúdo foi comprimido, para enganar as ferramentas de segurança antes mesmo que elas consigam inspecionar o que está dentro.
smart_display
Nossos vídeos em destaque
A mentira no cabeçalho
Todo arquivo ZIP carrega, além dos dados comprimidos, uma ficha técnica chamada de cabeçalho. Esse cabeçalho contém um campo chamado Method field, que indica o algoritmo de compressão utilizado. O mais comum é o DEFLATE, que transforma os dados em algo menor matematicamente.
Existe também a opção STORED, identificada pelo código Method=0, que indica que o arquivo foi incluído no ZIP sem nenhuma compressão.
Antivírus e sistemas de EDR, sigla para Endpoint Detection and Response, ferramentas corporativas avançadas de monitoramento, leem esse campo para decidir como processar o conteúdo antes de analisá-lo.
A técnica Zombie ZIP consiste em criar um arquivo que declara no cabeçalho ser STORED quando, na realidade, os dados foram comprimidos com DEFLATE. O antivírus acredita na declaração e tenta inspecionar os bytes como se fossem dados brutos legíveis.
O que encontra é uma sequência incompreensível, porque está tentando ler dados comprimidos como se fossem texto puro. Sem reconhecer nenhuma assinatura maliciosa, que são os padrões de código perigoso usados como referência pelas ferramentas de segurança, o arquivo passa pela triagem sem levantar suspeitas.
Erro parece inocente
Quando a vítima tenta abrir o arquivo com programas como WinRAR ou 7-Zip, a extração falha com uma mensagem de erro indicando dado corrompido ou método não suportado. Isso acontece porque o ZIP também carrega um valor chamado CRC, uma impressão digital matemática dos dados usada para verificar a integridade.
No Zombie ZIP, esse valor é calculado a partir do arquivo original, antes da compressão, o que faz os programas comuns identificarem uma inconsistência e abortarem a extração.
Esse comportamento pode até reduzir a suspeita da vítima. Um arquivo que simplesmente não abre parece mais um arquivo danificado do que uma ameaça ativa.
Como o conteúdo malicioso é recuperado
Apesar da aparência de arquivo corrompido, o conteúdo malicioso está intacto. O atacante distribui junto, ou já instalou previamente no computador da vítima, um programa chamado de loader. Esse programa ignora completamente o campo Method do cabeçalho e trata os dados diretamente como DEFLATE comprimido.
Ele descomprime tudo corretamente, recupera o payload, que é o código malicioso escondido dentro do arquivo, e o executa no sistema da vítima sem que nenhuma ferramenta de segurança perceba.
A escala do problema
Aziz testou a técnica contra 51 motores antivírus disponíveis no VirusTotal, plataforma que analisa arquivos suspeitos simultaneamente com dezenas de ferramentas de segurança. O resultado foi que 50 dos 51 motores falharam em detectar qualquer ameaça.
O CERT/CC, organização norte-americana de referência em resposta a vulnerabilidades, emitiu um boletim oficial e atribuiu à técnica o identificador CVE-2026-0866. O sistema CVE, sigla para Common Vulnerabilities and Exposures, é um catálogo onde cada vulnerabilidade conhecida recebe um número único para facilitar o rastreamento pela indústria.
A agência apontou ainda que a técnica tem semelhanças com uma vulnerabilidade descoberta há mais de vinte anos, a CVE-2004-0935, que afetava uma versão antiga do antivírus ESET. A manipulação de metadados em arquivos comprimidos não é uma ideia nova, mas continua sendo subestimada.
O que deve mudar
Os fabricantes de antivírus e EDR precisam parar de confiar apenas nos metadados declarados e começar a validar se o campo Method corresponde de fato ao conteúdo real do arquivo. Inconsistências entre o que o cabeçalho afirma e o que os bytes indicam deveriam ser tratadas como sinal de alerta imediato.
Para quem usa o computador no dia a dia, a recomendação é tratar arquivos ZIP recebidos de fontes desconhecidas com atenção redobrada. Se ao tentar extrair o arquivo o programa retornar um erro de método não suportado ou dado corrompido, o arquivo deve ser excluído imediatamente. Esse comportamento pode ser exatamente o que o atacante esperava que acontecesse no computador da vítima.