Investigadores de Bombadil Systems han demostrado que es posible manipular archivos ZIP para que aparenten estar sin comprimir, cuando en realidad contienen datos comprimidos con código malicioso. Este comportamiento engaña a los motores antivirus, que confían en los metadatos del archivo y no analizan correctamente su contenido.
Las pruebas realizadas evidencian un alto nivel de efectividad: más del 95% de los motores antivirus analizados no detectaron el malware oculto en este tipo de archivos.
¿Cómo funciona la técnica zombie zip?
El ataque se basa en la manipulación de la cabecera del archivo ZIP:
- El archivo declara que no está comprimido (método “STORED”).
- En realidad, los datos están comprimidos mediante algoritmos estándar como DEFLATE.
- El antivirus interpreta los datos como información sin comprimir, lo que impide identificar firmas maliciosas.
- Como resultado, el contenido se analiza como “ruido” y pasa desapercibido.
Además, estos archivos suelen provocar errores al intentar descomprimirlos con herramientas habituales como WinRAR o 7-Zip, lo que dificulta su análisis manual. Sin embargo, los atacantes pueden utilizar cargadores específicos capaces de extraer correctamente el malware oculto.
Impacto y riesgos
Esta técnica introduce un problema relevante en la detección tradicional de amenazas:
- Permite distribuir malware sin ser detectado por soluciones de seguridad convencionales.
- Facilita campañas de infección mediante archivos aparentemente inofensivos.
- Complica el análisis forense y la inspección automática de archivos comprimidos.
- Puede ser utilizada en entornos corporativos para evadir controles perimetrales y de endpoint.
El CERT ya ha emitido alertas indicando que el problema radica en la confianza excesiva en los metadatos de los archivos comprimidos, una debilidad estructural en muchos sistemas de seguridad.
Recomendaciones de seguridad
Para mitigar el riesgo asociado a esta técnica:
- No abrir archivos ZIP procedentes de fuentes no confiables.
- Desconfiar de archivos comprimidos que generen errores al extraerse.
- Utilizar soluciones de seguridad actualizadas con capacidades de análisis profundo.
- Implementar sistemas que validen la coherencia entre metadatos y contenido real de los archivos.
- Reforzar controles en entornos corporativos sobre archivos adjuntos y descargas.
La vulnerabilidad CVE-2026-0866 presenta similitudes con fallos detectados hace más de dos décadas, por lo que ciertas debilidades en el tratamiento de archivos comprimidos siguen sin resolverse completamente. Este tipo de técnicas demuestra una evolución en los métodos de evasión, centrados en explotar la lógica de los sistemas de defensa más que en vulnerabilidades tradicionales.
Más información:
- Fuentes: europapress.es.
