Zombie ZIP: Neuer Angriff umgeht fast alle Virenscanner

Eine neu entdeckte Methode zur Manipulation von ZIP-Archiven kann nahezu alle großen Antiviren-Engines austricksen. Diese Enthüllung fällt mit kritischen Software-Patches von Microsoft und einer weltweiten Polizeiaktion gegen Cyberkriminelle zusammen – und zwingt Unternehmen zum Umdenken in der IT-Sicherheit.

Fast perfekte Tarnung: So funktioniert der „Zombie ZIP“

Am 12. März 2026 veröffentlichte der Sicherheitsforscher Chris Aziz von Bombadil Systems einen sogenannten Proof-of-Concept. Die als „Zombie ZIP“ bekannte Technik nutzt einen einfachen Python-Skript, um ein ZIP-Archiv mit manipuliertem Dateikopf zu erstellen. Die Metadaten geben vor, der Inhalt sei unkomprimiert, tatsächlich ist die Schadsoftware jedoch mit der DEFLATE-Methode gepackt.

Angreifer nutzen immer raffiniertere Methoden, um herkömmliche Schutzsysteme zu umgehen und Unternehmen massiv zu schaden. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Unternehmen mit einfachen, proaktiven Maßnahmen effektiv vor modernen Cyberattacken schützen. Effektive Strategien gegen Cyberkriminelle entdecken

Virenscanner verlassen sich auf diese Metadaten, um zu entscheiden, wie sie eine Datei prüfen. Sie lesen daher den komprimierten Code als unkomprimierten Datenmüll – und übersehen so bekannte Malware-Signaturen. Im Test auf der Plattform VirusTotal überlistete die Methode 50 von 51 getesteten Antiviren-Engines, was einer Erfolgsquote von 98 Prozent entspricht.

Die Schwachstelle, offiziell als CVE-2026-0866 gelistet, ist so kritisch, dass das CERT Coordination Center eine entsprechende Warnung herausgab. Normale Archivprogramme können die fehlerhaften Dateien zwar nicht öffnen, doch der Proof-of-Concept enthält einen speziellen Loader, der die Schadlast extrahieren kann – ein gefährliches Werkzeug für Angreifer.

Kritische Lücken: Microsoft schließt zwei Zero-Day-Fehler

Parallel zur Zombie-ZIP-Enthüllung brachte Microsoft seine monatlichen Sicherheitsupdates heraus. Die zwischen dem 10. und 12. März veröffentlichten Patches schließen über 80 Lücken, darunter zwei bereits öffentlich bekannte Zero-Day-Schwachstellen.

Die erste, CVE-2026-21262, betrifft Microsoft SQL Server und ermöglicht eine gefährliche Rechteausweitung. Ein Angreifer mit einfachem Netzwerkzugang kann sich damit lautlos Datenbank-Administrator-Rechte verschaffen. So ließen sich unbemerkt Daten manipulieren, Konten anlegen oder Konfigurationen ändern.

Die zweite Lücke, CVE-2026-26127, betrifft die .NET-Plattform auf Windows, macOS und Linux. Diese Schwachstelle kann von Angreifern für Denial-of-Service-Angriffe genutzt werden, um .NET-Anwendungen gezielt abstürzen zu lassen. Sicherheitsbehörden raten dringend, die Updates sofort einzuspielen.

Operation Synergia III: Weltweiter Schlag gegen Cyberkriminelle

Während Software-Hersteller an der technischen Front kämpfen, geht die internationale Strafverfolgung gegen die Infrastruktur der Angreifer vor. Am 13. März veröffentlichte die Threat-Intelligence-Firma Group-IB Details zu ihrer Beteiligung an Operation Synergia III von INTERPOL.

An der globalen Initiative beteiligten sich Behörden aus 72 Ländern. Ziel waren Server, die Malware verbreiten, Phishing-Kampagnen hosten oder Ransomware-Angriffe ermöglichen. Die Ermittler schalteten über 45.000 bösartige IP-Adressen und Server ab und nahmen fast 100 Verdächtige fest.

Solche Aktionen sind eine entscheidende Ergänzung zur Endpoint-Security. Werden die Verteiler-Server für Bedrohungen wie manipulierte Archive oder Exploits für ungepatchte SQL-Server abgeschaltet, verringert sich das Angriffsaufkommen, das die Virenscanner der Unternehmen bewältigen müssen.

Systemisches Problem: Die Grenzen der Signatur-Erkennung

Die Ereignisse der letzten 72 Stunden zeigen die grundlegenden Grenzen rein signaturbasierter Virenscanner auf. Der Erfolg von Zombie ZIP offenbart eine anhaltende systemische Schwäche: Sicherheitssoftware vertraut den Metadaten von Archivdateien zu sehr.

Ob manipulierte Archive oder klassisches Phishing – Cyberkriminelle nutzen gezielt psychologische Muster und technische Lücken aus, um in Firmennetze einzudringen. In diesem Experten-Guide erfahren Sie in 4 Schritten, wie Sie eine erfolgreiche Abwehr gegen aktuelle Hacker-Methoden aufbauen. 4-Schritte-Anleitung zur Hacker-Abwehr kostenlos sichern

Experten weisen darauf hin, dass die technique an ähnliche Umgehungsmethoden aus der Zeit vor über 20 Jahren erinnert. Das CERT Coordination Center rät daher, dass Endpoint Detection and Response (EDR)-Lösungen die Komprimierungsmethode anhand der tatsächlichen Dateiinhalte validieren müssen, anstatt sich auf die Dateiköpfe zu verlassen. Auch Cisco hat das Problem für seine ClamAV-Engine bestätigt und kündigte Überlegungen für künftige Updates an.

Die Kombination aus Software-Lücken und ausgeklügelten Verteilmethoden unterstreicht die Notwendigkeit einer Defense-in-Depth-Strategie. Sich auf eine einzige Sicherheitsebene zu verlassen, reicht nicht mehr aus, wenn Angreifer Archiv-Manipulationen mit neuen Anwendungsschwachstellen kombinieren können.

Ausblick: Heuristik und automatisierte Updates gewinnen an Bedeutung

Als Reaktion auf die Zombie-ZIP-Enthüllung dürfte der Markt für Sicherheitssoftware nun rasch reagieren. In den kommenden Wochen werden große Anbieter wahrscheinlich Updates für ihre Scan-Engines bereitstellen, die gezielt nach Diskrepanzen in Archiv-Headern suchen. Tiefgreifende Verhaltensanalyse und heuristische Scans werden wichtiger, um verdächtige Loader zu erkennen, bevor sie ihre Schadlast entpacken.

Gleichzeitig wird die Bedeutung automatisierter Patch-Management- und Schwachstellen-Management-Tools weiter zunehmen. Unternehmen müssen sich von reaktiven Compliance-Rahmenwerken hin zu proaktiven, risikobasierten Sicherheitsstrategien bewegen. Die Integration globaler Bedrohungsdaten mit lokaler Endpoint-Abwehr bleibt die vielversprechendste Strategie, um das komplexe Bedrohungsjahr 2026 zu meistern.

boerse | 68690306 |