Une nouvelle technique d’évasion, baptisée “Zombie ZIP”, permet de cacher des charges malveillantes aux yeux de la majorité des solutions de sécurité du marché, y compris les EDR. Voici ce qu’il faut savoir sur cette menace potentielle.

L’art de l’illusion avec la méthode Zombie ZIP

Découverte par Chris Aziz, chercheur en sécurité chez Bombadil Systems, la technique Zombie ZIP abuse de la confiance accordée aux moteurs d’analyse à l’en-tête des fichiers ZIP. En effet, cette attaque consiste à manipuler l’en-tête du fichier ZIP de façon à altérer le champ déterminant la méthode de compression au sein de l’archive.

La technique Zombie ZIP consiste à indiquer que les données sont stockées sans aucune compression (méthode ou ), alors que c’est faux ! Le fichier malveillant est bel et bien compressé via l’algorithme standard DEFLATE.

Comme l’explique Chris Aziz, cette modification permet de tromper les solutions de sécurité puisque cela va jouer sur leur comportement. “Les moteurs AV font confiance au champ de méthode ZIP. Lorsque Method=0 (STORED), ils analysent les données comme des octets bruts non compressés. Mais les données sont en réalité compressées en DEFLATE – le scanner voit donc du bruit compressé et ne trouve aucune signature.”

Cette modification a aussi un impact côté utilisateur. En effet, si une victime tente d’ouvrir cette archive ZIP piégée avec les utilitaires habituels, comme WinRAR ou 7-Zip, une erreur s’affichera. L’application indiquera que les données sont corrompues. Même si, d’après le CERT/CC, certaines applications pourraient extraire cette archive ZIP correctement, tout dépend de la manière de traiter les en-têtes du fichier ZIP.

Ce n’est pas un problème dans le cadre de la chaine d’exploitation puisque cette archive ZIP n’a pas vocation à être décompressée par l’utilisateur lui-même. L’attaquant n’a qu’à accompagner son attaque par un loader (chargeur) malveillant qui sait comment s’y prendre avec cette archive ZIP.

“Cependant, un chargeur spécialement conçu qui ignore la méthode déclarée et décompresse en tant que DEFLATE récupère la charge utile parfaitement.”, précise le chercheur.

Lors de ses tests, la méthode Zombie ZIP a réussi à contourner la vigilance de 50 des 51 moteurs antivirus présents sur VirusTotal. Cela montre que cette technique est efficace. Il ne précise pas quel est le moteur de détection qui est parvenu à détecter cette technique. Toutefois, il donne quelques noms de solutions vulnérables : “Microsoft Defender, Avast, Bitdefender, ESET, Kaspersky, McAfee, Sophos, TrendMicro, etc.”

Un dépôt GitHub avec des détails techniques a d’ailleurs été publié à cette occasion.

Cette faille en rappelle une autre…

Cette technique a été associée à une nouvelle vulnérabilité : CVE-2026-0866. D’ailleurs, cette faille présente des similitudes avec une vulnérabilité divulguée il y a plus de vingt ans : CVE-2004-0935. À l’époque, cette vulnérabilité affectait une ancienne version de l’antivirus ESET. À croire que l’histoire se répète, mais d’une façon plus large cette fois-ci, à en croire les résultats de l’analyse sur VirusTotal.

Pour contrer la menace Zombie ZIP, le CERT/CC rappelle aux éditeurs de solutions de sécurité qu’il faut arrêter de faire aveuglément confiance aux en-têtes des fichiers ZIP.

“Les fournisseurs d’antivirus et d’EDR ne doivent pas se fier uniquement aux métadonnées déclarées dans les archives pour déterminer le traitement du contenu. Les scanners doivent disposer de modes de détection plus agressifs afin de valider les champs de méthode de compression par rapport aux caractéristiques réelles du contenu et de signaler les incohérences pour une inspection plus approfondie.”, peut-on lire.

Source