Zombie ZIP, il trucco che rende i malware invisibili agli antivirus
Topic
Approfondimenti
Trending
tutti

Zombie ZIP, il trucco che rende i malware invisibili agli antivirus

È stata denominata Zombie ZIP la falla che permette ai malware di nascondersi nei file compressi e superare i controlli di sicurezza degli antivirus.
Zombie ZIP, il trucco che rende i malware invisibili agli antivirus
Sicurezza Antivirus
È stata denominata Zombie ZIP la falla che permette ai malware di nascondersi nei file compressi e superare i controlli di sicurezza degli antivirus.
Pexels

Una nuova vulnerabilità, denominata profeticamente Zombie ZIP, sembra essere in grado di minacciare qualsiasi computer sul quale viene aperto un archivio compresso. Si tratta, in realtà, di una tecnica di offuscamento che sfrutta il funzionamento di questi file per nascondere al loro interno un malware. Il dato più sconcertante al momento è che il 95% degli antivirus utilizzati nei test non ha riconosciuto la minaccia, lasciando agire indisturbato il file malevolo sul PC.

Come funziona Zombie ZIP e perché è difficile da rilevare

Per comprendere come agisce la tecnica Zombie ZIP bisogna partire dall’analisi dell’archivio. Nei file ZIP è presente una sorta di intestazione in cui sono contenuti metadati e dettagli sul metodo di compressione. Se queste informazioni vengono modificate intenzionalmente, un qualsiasi software antivirus potrebbe non riuscire a decomprimerlo correttamente e, di conseguenza, non essere in grado di esaminarne il contenuto classificandolo come sicuro.

Il file, come confermato dal CERT, sfuggirebbe quindi ad un’analisi completa dato che molti software lo segnalerebbero come danneggiato. Dopo aver eluso i sistemi di sicurezza presenti sul PC, l’archivio può tuttavia essere recuperato tramite un loader personalizzato in grado di ignorare il metodo dichiarato nell’intestazione.

Come dimostrato da un utente su GitHub, basta un codice di poche righe per poter confezionare un file ZIP zombie e per rendere il suo contenuto attivo su un computer. Dall’esperimento si evince che su 66 diversi programmi antivirus a cui è stato sottoposto l’archivio compromesso, solo due sono stati in grado di rilevare la minaccia.

Secondo il CERT, per poter ovviare al problema, quando i software antivirus analizzano un file compresso non dovrebbero basarsi solo sui metadati contenuti nell’intestazione, bensì disporre di tecnologie più strutturate in grado di evidenziare eventuali incongruenze. Si attende quindi un intervento da parte delle principali software house per rendere più reattivi i sistemi di protezione a tale vulnerabilità, dato che potrebbe compromettere seriamente molti dispositivi.

Fonte: Tom's Hardware

Pubblicato il 13 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

SocksEscort: smantellato proxy con malware Linux

SocksEscort: smantellato proxy con malware Linux
Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando

Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando
Chat Control: proroga fino ad agosto 2027 con limitazioni

Chat Control: proroga fino ad agosto 2027 con limitazioni
Truffe telefoniche: così Truecaller vuol proteggere tutta la famiglia

Truffe telefoniche: così Truecaller vuol proteggere tutta la famiglia
SocksEscort: smantellato proxy con malware Linux

SocksEscort: smantellato proxy con malware Linux
Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando

Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando
Chat Control: proroga fino ad agosto 2027 con limitazioni

Chat Control: proroga fino ad agosto 2027 con limitazioni
Truffe telefoniche: così Truecaller vuol proteggere tutta la famiglia

Truffe telefoniche: così Truecaller vuol proteggere tutta la famiglia
Gaetano Mero
Pubblicato il
13 mar 2026
Link copiato negli appunti