'Zombie ZIP' saldırısına dikkat: Antivirüslerin büyük kısmını kandırıyor

HABER MERKEZİ -Siber güvenlik dünyasında dikkat çeken yeni bir saldırı tekniği ortaya çıktı. 'Zombie ZIP' adı verilen yöntem, kötü amaçlı yazılımları bozulmuş gibi görünen ZIP arşivlerinin içine saklayarak antivirüs yazılımlarını kandırabiliyor. Araştırmacılara göre bu teknik, mevcut antivirüs programlarının büyük bölümünden fark edilmeden geçebiliyor.

Yeni yöntem, ZIP dosya formatındaki başlık verisini kasıtlı olarak bozarak çalışıyor. Normalde bir ZIP arşivinin başlığı, sıkıştırma yöntemi, sürüm bilgisi ve dosyanın nasıl açılacağını belirleyen çeşitli meta verileri içeriyor. Zombie ZIP tekniğinde ise sıkıştırma yöntemini belirten alan özellikle hatalı hale getiriliyor.

Bu durumda popüler arşiv araçları olan 7‑Zip ve WinRAR dosyanın hangi yöntemle sıkıştırıldığını anlayamıyor. Aynı şekilde antivirüs yazılımları da dosyayı genellikle zararsız “bozuk veri” veya “sıkıştırılmış gürültü” olarak yorumlayabiliyor. Oysa arşivin içinde aslında Deflate algoritmasıyla sıkıştırılmış gerçek bir zararlı yük bulunuyor. Bu algoritma, 1990 yılında Phil Katz tarafından geliştirilen ve ZIP formatında uzun süredir kullanılan bir sıkıştırma yöntemi.

BÜYÜK GÜVENLİK AÇIĞI

Zombie ZIP saldırısında kötü amaçlı yazılım doğrudan açılmıyor. Arşivin içindeki zararlı yükü çıkarmak için, dosya başlığındaki hatalı bilgileri görmezden gelen özel bir çıkarma aracı gerekiyor. Bu nedenle saldırganlar dosyayı hedef sisteme ulaştırdıktan sonra ikinci bir araç kullanarak gerçek zararlı yazılımı açığa çıkarabiliyor.

Bu teknik şu anda CVE‑2026‑0866 numarasıyla takip ediliyor. Araştırmacıların testlerine göre Zombie ZIP yöntemi, yapılan taramalarda antivirüs Programlarının yaklaşık yüzde 98’ini atlatabiliyor. Testlerde Bitdefender, Kaspersky ve Microsoft’un Microsoft Defender yazılımı da dahil olmak üzere birçok güvenlik çözümünün bu bozuk arşivleri tehdit olarak işaretlemediği iddia ediliyor.

Bununla birlikte bazı güvenlik uzmanları bu durumun gerçek bir “güvenlik açığı” olarak değerlendirilmemesi gerektiğini savunuyor. Eleştirilere göre standart arşiv araçları dosyayı yorumlayamadığında, arşiv aslında bozuk ya da şifrelenmiş veri gibi davranıyor. Bu açıdan bakıldığında, parola korumalı ZIP dosyalarına benzer bir durum söz konusu.

KVKK, Baydöner'de veri sızıntısı olduğunu doğruladı: 3.7 milyon kayıt sızdı

Araştırmacılar ayrıca bazı gelişmiş çıkarma araçlarının hatalı başlığa rağmen veriyi tanıyabildiğini ve içindeki dosyayı açabildiğini belirtiyor. Bu nedenle antivirüs geliştiricilerinin, sıkıştırılmış dosyaları incelerken yalnızca başlık bilgilerindeki meta verilere güvenmemesi gerektiği vurgulanıyor.

Bilgi için teşekkürler.