เทคนิคใหม่ Zombie Zip ซ่อนมัลแวร์ในไฟล์ Zip
เทคนิคใหม่ Zombie Zip ซ่อนมัลแวร์ในไฟล์ Zip แบบเหนือชั้นจนแอนตี้ไวรัสตรวจไม่พบ
การใช้ไฟล์บีบอัดประเภท Zip เพื่อแฝงไฟล์มัลแวร์นั้น นับเป็นหนึ่งในวิธียอดนิยมของแฮกเกอร์ในการหลอกล่อเหยื่อให้ดาวน์โหลด คลายไฟล์ และติดตั้งมัลแวร์ เพราะวิธีการนี้ถ้าทำถูกต้องก็จะลดโอกาสตรวจจับโดยเครื่องมือต่อต้านมัลแวร์ได้ แต่วิธีการต่อไปนี้เรียกได้ว่า ร้ายกาจและฉลาดหลักแหลมกว่าวิธีการข้างต้นอย่างมาก
จากรายงานโดยเว็บไซต์ Cyber News ได้กล่าวถึงถ้าตรวจพบวิธีการแฝงมัลแวร์ด้วยการใช้งานช่องโหว่ความปลอดภัยบนไฟล์ Zip เพื่อซ่อนโค้ดของมัลแวร์เอาไว้และหลบเลี่ยงการตรวจจับของเครื่องมือตรวจจับมัลแวร์ เช่น ซอฟต์แวร์แอนตี้ไวรัสต่าง ๆ ซึ่งจากการตรวจสอบแล้วพบว่าด้วยวิธีนี้ช่วยให้ตัวไฟล์นั้นสามารถฝ่าการตรวจจับโดยแอนตี้ไวรัส 65 ตัว จาก 66 ตัวได้ โดยมีแค่แอนตี้ไวรัสของ Kingsoft ตัวเดียวเท่านั้นที่สามารถตรวจพบ เรียกได้ว่าเป็นวิธีการที่มีศักยภาพที่สูงมาก โดยวิธีการดังกล่าวนี้ถูกเรียกว่า Zombie Zip ซึ่งเป็นการเปลี่ยนแปลงข้อมูลในส่วนหัว หรือ Header ของไฟล์ Zip ซึ่งเป็นส่วนที่เก็บข้อมูล Metadata สำหรับใช้ในการอธิบายตัวเครื่องมือที่จะนำมาใช้ในการคลายไฟล์ว่าจะคลายไฟล์ (Extract) หรือ ซ่อมไฟล์ (Repair) อย่างไรให้มีความแม่นยำ แต่ด้วยการแปลงค่าให้เครื่องมือต่าง ๆ เข้าใจว่าตัวไฟล์นั้นไม่ได้เป็นไฟล์ที่ถูกบีบอัด (Uncompressed) ผ่านการเปลี่ยนค่าในส่วนของโหมดการบีบอัด (Compression Mode) เป็น STORED เพียงแค่ไบต์เดียวเท่านั้น ก็จะนำไปสู่การหลอกเครื่องมือแอนตี้ไวรัสว่า ไฟล์นี้เป็นไฟล์ธรรมดา มีความปลอดภัย ไม่ต้องคลายไฟล์ (Decompressed) ออกมาเพื่อตรวจสอบ ทำให้สามารถเลี่ยงการถูกตรวจจับไปได้
แต่ก็ยังโชคดี ที่เครื่องมือสำหรับการคลายไฟล์ยอดนิยม เช่น 7‑Zip, unzip, bsdtar, และ Python’s zipfile กลับไม่สามารถทำการคลายไฟล์ดังกล่าวได้ นั่นหมายถึง เหยื่อจะไม่สามารถคลายไฟล์ดังกล่าวและติดตั้งมัลแวร์ตามที่แฮกเกอร์ที่อยู่เบื้องหลังการโจมตีตั้งใจไว้ได้ แต่ทว่าก็ไม่ได้หมายความว่าวิธีการนี้จะไร้พิษสง หรือ สิ้นอันตราย เพราะจากรายงานโดยทีมวิจัยจาก CERT Coordination Center (CERT/CC) ซึ่งเป็นหน่วยย่อยของมหาวิทยาลัย Carnegie Mellon University ได้เตือนว่า ยังมีเครื่องมือคลายไฟล์อีกหลายตัวที่สามารถคลายไฟล์ประเภท Zombie Zip ได้ ถึงแม้จะมีการเปลี่ยนค่าบน Header ตามวิธีการดังกล่าวแล้วก็ตาม ทำให้แฮกเกอร์ยังสามารถใช้วิธีการหลอกลวง Phishing หรือวิธีการหลอกให้ดาวน์โหลดและติดตั้งไฟล์ด้วยการแจ้งเตือนข้อผิดพลาดปลอม (ClickFix) เพื่อใช้ส่งมัลแวร์ในรูปแบบไฟล์ Zombie Zip และติดตั้งมัลแวร์ลงบนเครื่องสำเร็จได้อยู่
โดยช่องโหว่ที่เกี่ยวข้องนั้นได้รับการตั้งรหัสว่า CVE-2026-0866 แต่ในเวลาต่อมาก็ได้ถูกปัดตกโดยทีมที่เกี่ยวข้องกับการจัดระเบียบข้อมูลช่องโหว่ความปลอดภัย เนื่องจากช่องโหว่ดังกล่าวนั้นถูกคาดการณ์ว่าไม่ใช่ของใหม่เนื่องจากมีความคล้ายคลึงกับช่องโหว่ความปลอดภัยตัวหนึ่งที่ถูกตรวจพบในช่วงปี ค.ศ. 2004 (2547) หรือเมื่อ 20 กว่าปีมาแล้ว โดยช่องโหว่ดังกล่าวมีการระบุไว้ว่าสามารถให้ไฟล์ Zip หลบเลี่ยงการถูกตรวจจับจากซอฟต์แวร์แอนตี้ไวรัสด้วยวิธีการเปลี่ยนค่าบน Header เช่นเดียวกัน
จากประสบการณ์ส่วนตัวในการใช้งานคอมพิวเตอร์และดาวน์โหลดไฟล์จากอินเทอร์เน็ต พบว่าไฟล์ Zip เป็นอีกหนึ่งรูปแบบไฟล์ที่นิยมใช้แชร์ข้อมูลกันมาก แต่ก็มีความเสี่ยงสูงเนื่องจากแฮกเกอร์มักใช้วิธีแอบซ่อนไฟล์มัลแวร์ในไฟล์ Zip ที่ดูเหมือนไม่อันตราย วิธี Zombie Zip ที่กล่าวในบทความนี้ทำให้ไฟล์ Zip หลอกโปรแกรมแอนตี้ไวรัสว่าปลอดภัย เพราะเปลี่ยนค่า Compression Mode ให้ดูเหมือนไม่ได้ถูกบีบอัดจริงๆ จึงไม่ถูกตรวจสอบลึกลงไป ซึ่งผมเคยเจอกรณีแบบนี้จริงๆ ครั้งหนึ่งที่เครื่องติดไวรัสจากไฟล์ Zip ที่ดาวน์โหลดผ่านอีเมลล์ แต่โชคดีที่ใช้โปรแกรมแอนตี้ไวรัสที่มีการอัปเดตฐานข้อมูลไวรัสอย่างสม่ำเสมอ ทำให้แอนตี้ไวรัสสามารถจับสัญญาณผิดปกติได้ก่อนส่งผลเสียหนัก หลังจากอ่านข้อมูลนี้ ผมแนะนำให้ทุกคนระวังมากขึ้นต่อไฟล์ Zip ที่ดาวน์โหลดจากแหล่งที่ไม่น่าเชื่อถือ และไม่ควรคลายไฟล์ด้วยโปรแกรมที่ไม่รู้จักหรือเก่าเกินไป เพราะอาจไม่ตรวจจับเทคนิค Zombie Zip ได้ การอัปเดตโปรแกรมแอนตี้ไวรัสและใช้เครื่องมือคลายไฟล์ยอดนิยม เช่น 7-Zip หรือ Python’s zipfile จะช่วยลดความเสี่ยงได้มาก นอกจากนี้ การเปิดรับไฟล์ Zip ผ่านอีเมลล์ควรแน่ใจว่ามาจากแหล่งที่น่าเชื่อถือ และหากเจอไฟล์ Zip แจ้งเตือนข้อผิดพลาดปลอม (ClickFix) ให้ระมัดระวังเป็นพิเศษ เพราะนั่นอาจเป็นฝีมือของแฮกเกอร์ที่จะชักนำให้ติดตั้งมัลแวร์ การเรียนรู้และติดตามข่าวสารช่องโหว่ความปลอดภัย เช่น CVE-2026-0866 จะช่วยให้เรามีความรู้ป้องกันภัยไซเบอร์ได้ดีขึ้น ในยุคนี้ที่ภัยคุกคามคล่องตัวและซับซ้อนขึ้นทุกวัน การตระหนักรู้คือกุญแจสำคัญในการป้องกันตัวเองและองค์กรไม่ให้ตกเป็นเหยื่อของมัลแวร์แนวใหม่อย่าง Zombie Zip
