เทคนิคใหม่ Zombie Zip ซ่อนมัลแวร์ในไฟล์ Zip แบบเหนือชั้นจนแอนตี้ไวรัสตรวจไม่พบ

การใช้ไฟล์บีบอัดประเภท Zip เพื่อแฝงไฟล์มัลแวร์นั้น นับเป็นหนึ่งในวิธียอดนิยมของแฮกเกอร์ในการหลอกล่อเหยื่อให้ดาวน์โหลด คลายไฟล์ และติดตั้งมัลแวร์ เพราะวิธีการนี้ถ้าทำถูกต้องก็จะลดโอกาสตรวจจับโดยเครื่องมือต่อต้านมัลแวร์ได้ แต่วิธีการต่อไปนี้เรียกได้ว่า ร้ายกาจและฉลาดหลักแหลมกว่าวิธีการข้างต้นอย่างมาก

จากรายงานโดยเว็บไซต์ Cyber News ได้กล่าวถึงถ้าตรวจพบวิธีการแฝงมัลแวร์ด้วยการใช้งานช่องโหว่ความปลอดภัยบนไฟล์ Zip เพื่อซ่อนโค้ดของมัลแวร์เอาไว้และหลบเลี่ยงการตรวจจับของเครื่องมือตรวจจับมัลแวร์ เช่น ซอฟต์แวร์แอนตี้ไวรัสต่าง ๆ ซึ่งจากการตรวจสอบแล้วพบว่าด้วยวิธีนี้ช่วยให้ตัวไฟล์นั้นสามารถฝ่าการตรวจจับโดยแอนตี้ไวรัส 65 ตัว จาก 66 ตัวได้ โดยมีแค่แอนตี้ไวรัสของ Kingsoft ตัวเดียวเท่านั้นที่สามารถตรวจพบ เรียกได้ว่าเป็นวิธีการที่มีศักยภาพที่สูงมาก โดยวิธีการดังกล่าวนี้ถูกเรียกว่า Zombie Zip ซึ่งเป็นการเปลี่ยนแปลงข้อมูลในส่วนหัว หรือ Header ของไฟล์ Zip ซึ่งเป็นส่วนที่เก็บข้อมูล Metadata สำหรับใช้ในการอธิบายตัวเครื่องมือที่จะนำมาใช้ในการคลายไฟล์ว่าจะคลายไฟล์ (Extract) หรือ ซ่อมไฟล์ (Repair) อย่างไรให้มีความแม่นยำ แต่ด้วยการแปลงค่าให้เครื่องมือต่าง ๆ เข้าใจว่าตัวไฟล์นั้นไม่ได้เป็นไฟล์ที่ถูกบีบอัด (Uncompressed) ผ่านการเปลี่ยนค่าในส่วนของโหมดการบีบอัด (Compression Mode) เป็น STORED เพียงแค่ไบต์เดียวเท่านั้น ก็จะนำไปสู่การหลอกเครื่องมือแอนตี้ไวรัสว่า ไฟล์นี้เป็นไฟล์ธรรมดา มีความปลอดภัย ไม่ต้องคลายไฟล์ (Decompressed) ออกมาเพื่อตรวจสอบ ทำให้สามารถเลี่ยงการถูกตรวจจับไปได้

แต่ก็ยังโชคดี ที่เครื่องมือสำหรับการคลายไฟล์ยอดนิยม เช่น 7‑Zip, unzip, bsdtar, และ Python’s zipfile กลับไม่สามารถทำการคลายไฟล์ดังกล่าวได้ นั่นหมายถึง เหยื่อจะไม่สามารถคลายไฟล์ดังกล่าวและติดตั้งมัลแวร์ตามที่แฮกเกอร์ที่อยู่เบื้องหลังการโจมตีตั้งใจไว้ได้ แต่ทว่าก็ไม่ได้หมายความว่าวิธีการนี้จะไร้พิษสง หรือ สิ้นอันตราย เพราะจากรายงานโดยทีมวิจัยจาก CERT Coordination Center (CERT/CC) ซึ่งเป็นหน่วยย่อยของมหาวิทยาลัย Carnegie Mellon University ได้เตือนว่า ยังมีเครื่องมือคลายไฟล์อีกหลายตัวที่สามารถคลายไฟล์ประเภท Zombie Zip ได้ ถึงแม้จะมีการเปลี่ยนค่าบน Header ตามวิธีการดังกล่าวแล้วก็ตาม ทำให้แฮกเกอร์ยังสามารถใช้วิธีการหลอกลวง Phishing หรือวิธีการหลอกให้ดาวน์โหลดและติดตั้งไฟล์ด้วยการแจ้งเตือนข้อผิดพลาดปลอม (ClickFix) เพื่อใช้ส่งมัลแวร์ในรูปแบบไฟล์ Zombie Zip และติดตั้งมัลแวร์ลงบนเครื่องสำเร็จได้อยู่

โดยช่องโหว่ที่เกี่ยวข้องนั้นได้รับการตั้งรหัสว่า CVE-2026-0866 แต่ในเวลาต่อมาก็ได้ถูกปัดตกโดยทีมที่เกี่ยวข้องกับการจัดระเบียบข้อมูลช่องโหว่ความปลอดภัย เนื่องจากช่องโหว่ดังกล่าวนั้นถูกคาดการณ์ว่าไม่ใช่ของใหม่เนื่องจากมีความคล้ายคลึงกับช่องโหว่ความปลอดภัยตัวหนึ่งที่ถูกตรวจพบในช่วงปี ค.ศ. 2004 (2547) หรือเมื่อ 20 กว่าปีมาแล้ว โดยช่องโหว่ดังกล่าวมีการระบุไว้ว่าสามารถให้ไฟล์ Zip หลบเลี่ยงการถูกตรวจจับจากซอฟต์แวร์แอนตี้ไวรัสด้วยวิธีการเปลี่ยนค่าบน Header เช่นเดียวกัน

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv