Regelmatig komt het voor dat aanvallers DOC- en PDF-bestanden gebruiken om internetgebruikers met malware te infecteren, maar onlangs ontdekte een onderzoeker een PDF-bestand genaamd "Sales Invoice" dat een kwaadaardig Word-document bevatte. Bij het openen van het PDF-bestand wordt er via Javascript geprobeerd een embedded Word-document te openen. Standaard waarschuwt Adobe Reader voor het openen van deze embedded bestanden.

Als gebruikers de waarschuwing negeren en er toch voor kiezen het DOC-bestand te openen krijgen ze vervolgens in Microsoft Word de vraag of ze de macro in het document willen uitvoeren. De afgelopen maanden worden regelmatig Word-documenten met macro's gebruikt, die zodra uitgevoerd malware downloaden. Ook in dit geval wordt er na het uitvoeren van de macro malware gedownload. Het gaat om een variant van de Dridex banking Trojan, een Trojaans paard dat geld van online bankrekeningen steelt.

Volgens onderzoeker Steve Basford zijn de kwaadaardige Office-documenten op het moment alleen tegen Windowsgebruikers gericht. "Apple en Android-software kunnen deze bijlagen openen en kunnen mogelijk zelfs de embedded macro ín de bijlage uitvoeren", zo laat hij op zijn eigen blog weten. De Belgische onderzoeker en ISC-handler Didier Stevens maakte deze demonstratievideo waarin hij het PDF-bestand analyseert.