צוות תגובת החירום במחשבים של יפן – JPCERT מזהיר מפני מתקפת MalDoc ב- PDF שזוהתה לאחרונה. מתקפת סייבר זו עוקפת את זיהויה כמתקפת סייבר על ידי הטמעת קובץ Word זדוני בקובץ PDF. חוקרי הסייבר הסבירו שלקובץ שנוצר עם MalDoc ב- PDF יש מבנה קבצים של PDF, אך ניתן לפתוח אותו באמצעות Word. במידה והקובץ כולל מאקרו זדוני, ניתן להפעיל את הקוד הזדוני על ידי פתיחת הקובץ. במתקפה שנצפה על ידי JPCERT/CC, השתמשו פושעי סייבר בסיומת קובץ doc ולכן, אם קובץ doc מוגדר להיפתח ב- Word בהגדרות של Windows, ייפתח הקובץ שנוצר על ידי MalDoc ב- PDF כקובץ Word. פושעי הסייבר מוסיפים קובץ mht שנוצר ב- Word ועם מאקרו מצורף אחרי אובייקט קובץ ה- PDF. הקובץ שנוצר מזוהה כקובץ PDF בחתימת הקובץ, אך כאמור ניתן לפתוח אותו גם באמצעות Word.
מומחי JPCERT טוענים כי ניתן להשתמש בכלי הניתוח של OLEVBA לקבצי Word זדוניים כדי לזהות קבצים זדוניים שנועדו לבצע מתקפת סייבר כזו. עם זאת, ייתכן שכלי ניתוח PDF פופולריים כמו pdfid לא יוכלו לזהות את הקובץ הזדוני: "הטכניקה אינה עוקפת את ההגדרה המשביתה הפעלה אוטומטית במאקרו של Word. עם זאת, מכיוון שהקבצים מזוהים כקובצי PDF, עליך להיות זהיר לגבי תוצאות הזיהוי אם אתה מבצע ניתוח נוזקות באמצעות כלים יעודיים, ארגז חול וכדומה", נכתב בדוח JPCERT.
