Siber güvenlik dünyasında yeni bir tehdit ortaya çıktı: 'Zombie ZIP' saldırıları. Bu yöntem, kötü amaçlı yazılımları kasıtlı olarak bozulmuş gibi görünen ZIP dosyalarının içine gizleyerek, günümüzdeki antivirüs yazılımlarının büyük çoğunluğunu kolayca kandırıyor. Araştırmacılara göre, bu sofistike teknik, mevcut antivirüslerin yaklaşık %98'inden fark edilmeden geçebiliyor.
Dosya Formatının Sırrı: Bozuk Başlıklar
Zombie ZIP tekniğinin çalışma prensibi, ZIP dosya formatının temelinde yatıyor. Normalde bir ZIP arşivinin başlık bilgisi, sıkıştırma yöntemi, sürüm numarası ve dosyanın nasıl açılacağını belirleyen meta verileri içerir. Ancak bu yeni yöntemde, özellikle sıkıştırma yöntemini belirten alan kasıtlı olarak hatalı hale getiriliyor. Bu durum, 7-Zip ve WinRAR gibi popüler arşiv programlarının dosyanın içeriğini nasıl işleyeceğini anlamasını engelliyor. Antivirüs yazılımları da bu bozuk arşivi genellikle zararsız bir 'bozuk veri' veya 'sıkıştırılmış gürültü' olarak algılıyor. Oysa bu 'bozuk' arşivin içinde, Deflate algoritmasıyla sıkıştırılmış, tehlikeli bir zararlı yazılım gizlenmiş durumda.
Büyük Güvenlik Açığı ve Çözüm Arayışları
Bu saldırının kritik noktası, kötü amaçlı yazılımın doğrudan çalıştırılmamasıdır. Saldırganlar, ZIP dosyasını hedef sisteme ulaştırdıktan sonra, dosya başlığındaki hatalı bilgileri dikkate almayan özel bir çıkarma aracı kullanarak zararlı yazılımı ortaya çıkarıyor. CVE-2026-0866 numarasıyla takip edilen bu saldırı, Bitdefender, Kaspersky ve Microsoft Defender gibi bilinen güvenlik çözümlerinin bile bu tür bozuk arşivleri tehdit olarak işaretleyemediğini gösteriyor. Ancak bazı güvenlik uzmanları, bu durumu tam anlamıyla bir 'güvenlik açığı' olarak görmüyor; standart araçların yorumlayamadığı bozuk veya şifreli verilere benzediğini savunuyorlar. Yine de, antivirüs geliştiricilerinin, sıkıştırılmış dosyaları analiz ederken sadece başlık bilgilerine değil, daha derinlemesine incelemeler yapması gerektiği vurgulanıyor.
