Sicherheitsforscher haben eine raffinierte neue Angriffsmethode aufgedeckt, die es Cyberkriminellen ermöglicht, schädliche Inhalte in manipulierten ZIP-Dateien zu verstecken. Die “Zombie ZIP”-Technik wird bereits von 50 der 51 gängigsten Antivirus-Engines auf VirusTotal erfolgreich umgangen.
Die Methode funktioniert durch geschicktes Manipulieren von ZIP-Header-Informationen. Dabei werden Sicherheitsscanner dazu gebracht, komprimierte Daten als unkomprimiert zu behandeln. Während Standard-Programme wie WinRAR oder 7-Zip beim Extraktionsversuch Fehler erzeugen oder beschädigte Dateien zurückgeben, vertrauen Sicherheitslösungen dem Header und scannen die Archiv-Daten als ob sie original vorliegen würden.
Chris Aziz von Bombadil Systems, der diese Technik entwickelt hat, erklärt das Funktionsprinzip: “Antivirus-Engines vertrauen dem ZIP-Feld ‘Method’. Bei Method=0 (STORED) scannen sie die Daten als rohe, unkomprimierte Bytes. Allerdings sind die Daten tatsächlich mit DEFLATE komprimiert – der Scanner sieht also nur Komprimierungsrauschen und findet keine Malware-Signaturen.”
Bedrohungsakteure nutzen daraufhin einen speziellen Loader, der den Header ignoriert und das Archiv korrekt als DEFLATE-komprimierte Daten decomprimiert. Ein entscheidender Trick ist die Manipulation der CRC-Checksumme: Sie wird auf den Wert der unkomprimierten Payload gesetzt, was Standard-Extraktionsprogramme zum Fehlschlag bringt. Speziell entwickelte Loader können die Daten jedoch problemlos wiederherstellen.
Aziz hat einen Proof-of-Concept auf GitHub veröffentlicht und zeigt damit, wie anfällig aktuelle Sicherheitssysteme für diese Methode sind. Das CERT Coordination Center (CERT/CC) hat daraufhin eine Warnung ausgegeben und Unternehmen aufgefordert, vorsichtiger mit Archivdateien umzugehen – besonders bei unbekannten Absendenten.
Die Schwachstelle erhielt die Bezeichnung CVE-2026-0866. Interessanterweise ähnelt sie einer bereits 2004 bekannten Lücke (CVE-2004-0935), die damals eine frühe Version des ESET-Antivirus betraf. Das CERT/CC fordert Sicherheitsunternehmen auf, ihre Produkte zu verbessern: Komprimierungsmethoden sollten gegen tatsächliche Daten validiert werden, Mechanismen zur Erkennung von Archiv-Inkonsistenzen implementiert und aggressivere Scan-Modi aktiviert werden.
Nutzer sollten ZIP- und andere Archivdateien mit Vorsicht behandeln und diese sofort löschen, falls Extraktionsversuche mit “Unsupported method”-Fehlern abbrechen. Dieses aktuelle Beispiel zeigt erneut, wie Cyberkriminelle ständig neue Wege finden, um Sicherheitslösungen auszutricksen.