Специфика таких файлов в том, что разные приложения определяют их по-разному. Например, файлы безопасны в PDF, но содержат вредоносный код в альтерантивных форматах.
Такие файлы называются полиглотами.
Так, например, исследователи разбирают файл, в котором большинство инструментов распознает безвредный PDF. Если открыть его же через офисное приложение и задать формат .doc, активируется встроенный VBS макрос для установки вредоносного ПО.
Такие "двуликие" файлы функционируют куда более эффективно и тонко, чем схожие вирусы, о которых было известно ранее.
Как можно бороться с новой угрозой?
• запретить Microsoft Office автоматические макросы
• программа «OLEVBA» помогает распознавать спрятанный код в сложных файлах .
• специальный набор сигнатур в Yara указывает на потенциально вредоносный код
Мы в VK: https://vk.com/darkwebex