JeielLimaMiranda, você consegue reverter qualquer arquivo com conteúdo suspeito? E se o pacote zip está encriptado com senha?
Assim como você, já tive acesso a uma ou outra dessas ameaças quando procurei entender o funcionamento de payloads de algumas CVEs. Para determinadas vulnerabilidades, publicam todo pacote junto com a análise construída (Prova de Conceito). As formas mais incomuns para esconder esses exploits de antivirus são, por exemplo:
- pacotes em Base64/Base32 (ou outra base) codificado várias vezes com reversão da sequência de bytes;
- "soma" (XOR) de resultados de uma função determinística aos valores inteiros de bytes, misturando-os;
- espalhamento de bits em posições específicas numa imagem;
- vetores de bytes hardcoded como tabelas de constantes para tradução;
- e a lista de criatividades segue...
Hoje, como as evidências para investigação ainda importam, os atacantes criam apenas um loader não malicioso para diminuir os rastros. Assim que esse loader certifica-se de seus poderes, baixa o payload de um local remoto (de algum site legítimo já infectado). Cara, e esse local pode ser qualquer um que não limita conteúdo ou o descaracteriza (marcas dagua, por exemplo). Se usou AES para encriptar o pacote, baixa a chave de algum lugar e é praticamente impossível, nesta época, quebrar o AES. Isso dificulta, em parte, reproduzir o ataque por completo para entender o funcionamento caso esses "depósitos distribuidos" na nuvem desapareçam. Se o loader for "genérico", permite carregar diferentes tipos de ameaças. É muita criatividade para um fim nada bom.