Lunedi 06 Luglio 2026 17:50:00 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Malware & Botnets

Archivi Non Morti: come i file “Zombie ZIP” stanno beffando i difensori informatici

Pubblicato: 11 Marzo 2026 01:09Categoria: Malware & BotnetsAutore: KERNELWATCHER

Sottotitolo: Un astuto trucco con i file ZIP permette al malware di camuffarsi da dati innocui, eludendo il rilevamento e facendo scattare l’allarme nel mondo della cybersecurity.

Immagina questo: un file ZIP apparentemente innocente arriva nella tua casella di posta. Provi a estrarne il contenuto, ma ti ritrovi davanti a errori criptici e file corrotti. Eppure, dietro questo inciampo digitale si nasconde una minaccia nuova e pericolosa. Ecco “Zombie ZIP”: una tecnica inedita che consente al software malevolo di scivolare oltre anche gli strumenti di sicurezza più robusti, lasciando i difensori a rincorrere.

La mente dietro “Zombie ZIP” è il ricercatore di sicurezza Chris Aziz di Bombadil Systems, che ha individuato un difetto nel modo in cui molti strumenti di sicurezza interpretano i file ZIP. Il trucco è diabolicamente semplice: manipolare l’header del file ZIP per dire agli scanner che i contenuti sono “stored” (non compressi), mentre in realtà i dati sono compressi con l’algoritmo DEFLATE. I motori antivirus, fidandosi dell’header, tentano di analizzare i byte grezzi. Ma ciò che vedono è solo un guazzabuglio compresso: nessuna firma di malware, nessun campanello d’allarme.

Per l’utente medio, un archivio “Zombie ZIP” sembra rotto. I tentativi di estrazione con utility popolari come 7-Zip o WinRAR generano errori, spesso citando metodi non supportati o dati corrotti. È voluto: il CRC del file (un checksum usato per l’integrità) è impostato in modo da corrispondere al payload non compresso, confondendo ulteriormente gli strumenti standard. Tuttavia, per un attaccante che utilizza un loader creato ad hoc-software che ignora l’header ingannevole e decomprime il file per ciò che è davvero-il codice malevolo emerge intatto e pronto all’esecuzione.

La proof-of-concept di Aziz, ora pubblica su GitHub, ha lasciato di stucco la comunità della sicurezza. Su 51 motori antivirus testati su VirusTotal, solo uno ha riconosciuto la minaccia. Gli altri sono stati raggirati dall’header ZIP manipolato, riecheggiando una vulnerabilità (CVE-2004-0935) ritenuta risolta da tempo. Il recente bollettino di CERT/CC (CVE-2026-0866) avverte che questo difetto vecchio di decenni è tornato, rivitalizzato per attacchi moderni.

Gli esperti esortano i vendor di sicurezza a fare un salto di qualità. Le soluzioni devono ora validare i metodi di compressione rispetto alla struttura reale dei dati, non limitarsi a fidarsi delle intestazioni dei file. Si invocano routine di rilevamento potenziate e modalità di ispezione “paranoiche”. Nel frattempo, gli utenti dovrebbero essere prudenti: se un archivio ZIP si rifiuta di aprirsi o restituisce un errore di “metodo non supportato”, è meglio eliminarlo immediatamente-la curiosità potrebbe scatenare un’infezione silenziosa.

La saga di “Zombie ZIP” è un monito inquietante: anche i trucchi più vecchi possono tornare a perseguitarci sotto nuove spoglie. Mentre gli attaccanti riesumano e affinano vulnerabilità dimenticate, il gioco del gatto e del topo tra cybercriminali e difensori si intensifica. Nel mondo della sicurezza digitale, ciò che è morto non sempre resta sepolto.

WIKICROOK

  • Header ZIP: Un header ZIP memorizza i metadati all’inizio di un file ZIP, descrivendone i contenuti e i metodi di compressione per una corretta estrazione e per i controlli di sicurezza.
  • Algoritmo DEFLATE: DEFLATE è un algoritmo di compressione dati veloce e senza perdita, usato nei file ZIP per ridurre le dimensioni e ottimizzare l’archiviazione e l’efficienza del trasferimento dati.
  • CRC (Cyclic Redundancy Check): Il CRC è una tecnica per verificare l’integrità dei dati, rilevando errori accidentali in file, archivi e comunicazioni digitali.
  • Loader: Un loader è un software malevolo che installa o esegue altro malware su un sistema infetto, abilitando ulteriori attacchi informatici o accessi non autorizzati.
  • Endpoint Detection and Response (EDR): Gli Endpoint Detection and Response (EDR) sono strumenti di sicurezza che monitorano i computer alla ricerca di attività sospette, ma possono non rilevare attacchi basati sul browser che non lasciano file.