Waar eerst nog veel spam-aanvallen werden gesignaleerd waarin Word werd gebruikt is er nu een campagne gesignaleerd waarin de aanvallers gebruik maken van PDF-documenten. De e-mails worden zo opgezet dat het lijkt alsof het om een gescande afbeelding gaat, maar ondertussen wordt via een embedded Word document ransomware verspreid.

Als de gebruiker het Word document opent en kiest voor macro's inschakelen dan wordt Locky-ransomware op de computer geïnstalleerd. Die software versleutelt bestanden waarna losgeld wordt gevraagd aan de gebruiker. Volgens Malwarebytes vertrouwd deze manier van hacken erop dat mensen bestanden openen die legitiem blijken. Uiteindelijk accepteert de gebruiker namelijk dat de ransomware wordt geïnstalleerd.