Un semplice file ZIP può sembrare innocuo, ma dietro un archivio apparentemente danneggiato potrebbe nascondersi un nuovo metodo usato dagli hacker per far passare malware sotto il radar degli antivirus.
I ricercatori di sicurezza informatica hanno individuato una tecnica chiamata Zombie ZIP, un sistema che sfrutta il modo in cui funzionano gli archivi compressi per nascondere software malevolo all’interno di file che sembrano corrotti o privi di contenuto reale.
L’idea non è completamente nuova: da anni i criminali informatici utilizzano archivi compressi per distribuire virus e programmi dannosi. Tuttavia questa tecnica prova a fare un passo ulteriore, cercando di ingannare proprio i sistemi di scansione antivirus che dovrebbero intercettare le minacce.
Come funziona la tecnica Zombie ZIP
Il metodo sfrutta una caratteristica tecnica del formato ZIP, uno dei sistemi di compressione più diffusi al mondo. Ogni archivio ZIP contiene infatti una serie di informazioni chiamate header, cioè dati che spiegano al software come leggere e decomprimere il file.
Tra queste informazioni c’è anche il metodo di compressione utilizzato. Nel caso dello Zombie ZIP, questo campo viene deliberatamente modificato o danneggiato.
Quando programmi comuni come 7-Zip o WinRAR cercano di aprire l’archivio, non riescono a capire come è stato compresso il contenuto. Il file appare quindi come un archivio difettoso o inutilizzabile.
Gli antivirus, a loro volta, interpretano il contenuto come semplice “rumore compresso”, cioè dati senza significato.
In realtà il contenuto resta compresso con Deflate, un algoritmo di compressione creato negli anni Novanta dallo sviluppatore Phil Katz, lo stesso autore del formato ZIP.
Il malware rimane quindi nascosto all’interno del file, pronto per essere estratto con strumenti appositamente progettati.
Perché gli antivirus fanno fatica a rilevarlo
Secondo i ricercatori che hanno documentato la tecnica, l’archivio manipolato riesce a evitare i controlli di circa il 98% degli antivirus testati tramite la piattaforma VirusTotal.
Tra i software che non segnalerebbero automaticamente l’archivio ci sarebbero anche prodotti molto diffusi come Microsoft Defender, Kaspersky e Bitdefender.
Il motivo è legato proprio al modo in cui gli antivirus analizzano i file compressi. Molti sistemi si basano sulla struttura standard dell’archivio per capire come analizzarne il contenuto.
Se i dati dell’header risultano incoerenti o incomprensibili, il file può apparire come un archivio danneggiato e quindi non viene esaminato a fondo.
Una vulnerabilità discussa tra gli esperti
La tecnica è stata registrata con l’identificativo CVE-2026-0866, ma non tutti gli esperti concordano sul fatto che si tratti davvero di una vulnerabilità.
Alcuni analisti di sicurezza sostengono che un archivio che i programmi standard non riescono a interpretare sia, di fatto, solo un file corrotto o cifrato.
In questo senso il comportamento sarebbe simile a quello di un archivio ZIP protetto da password, che richiede comunque strumenti specifici per essere analizzato.
I ricercatori del CERT Coordination Center della Carnegie Mellon University fanno notare che alcuni strumenti di estrazione sono comunque in grado di riconoscere l’archivio alterato e recuperare il contenuto nascosto.
Perché riguarda anche gli utenti comuni
Per chi usa un computer a casa il rischio resta legato soprattutto ai file scaricati da Internet.
Archivi ZIP provenienti da email sconosciute, siti poco affidabili o messaggi sospetti possono contenere software dannoso anche quando sembrano file innocui o danneggiati.
Gli esperti di sicurezza ricordano quindi una regola semplice: trattare sempre con cautela gli archivi compressi, soprattutto quando arrivano da fonti non verificate.
Anche quando un antivirus non segnala nulla, un file apparentemente innocuo potrebbe nascondere qualcosa di diverso da ciò che sembra.
