HP Wolf Security پس از تجزیه و تحلیل میلیون‌ها نقطه پایانی اعلام کرد که 44 درصد بدافزارها در فایل‌های آرشیو محبوب، قرار داده شده که نسبت به سه ماهه قبل 11 درصد افزایش داشته است. 32 درصد بدافزارها از طریق فایل‌های آفیس مانند مایکروسافت ورد، اکسل و پاورپوینت منتقل شدند.

کارشناسان چندین حمله را مشاهده کردند که در آن مجرمان سایبری آرشیوهای مخرب را در فایل های HTML قرار می دهند تا گذرگاه های ایمیل را باز و حملات را آغاز کنند.

برای مثال، در حملات اخیر QakBot و IceID از فایل‌های HTML برای هدایت کاربران به سمت بازدید از اسناد آنلاین جعلی که در قالب Adobe ظاهر می‌شدند، استفاده کردند.

  سپس به کاربران دستور داده شد که یک فایل ZIP را باز کنند و یک رمز عبور برای باز کردن فایل‌ها وارد کنند، سپس بدافزار را روی کامپیوترهای شخصی آنها منتقل کردند.

از آنجا که بدافزار درون یک فایل HTML رمزگذاری شده است، تشخیص آن بسیار دشوار می باشد. مهاجمان  به مهندسی اجتماعی متکی هستند و قربانیان را برای باز کردن فایل‌های آرشیو مخرب ترغیب می کنند.

رمزگذاری آرشیوها آسان است و به فعالان تهدید برای پنهان کردن بدافزارها کمک می کند و از پروکسی های وب، sandboxes یا اسکنرهای ایمیل اجتناب می کنند. الکس هالند، تحلیلگر ارشد بدافزار، گفت: این امر شناسایی حملات را دشوار می کند، به خصوص زمانی که با تکنیک های HTML smuggling  ترکیب شود.

همچنین محققان اشاره کردند که مهاجمان به طور بالقوه می‌توانند  payloadرا برای عنوان مثال، به جاسوس‌افزار یا باج‌افزار تغییر دهند و ویژگی‌های جدیدی مانند geo-fencing در اواسط حمله معرفی کنند. این بدین معناست که عوامل تهدید می توانند تاکتیک ها را بر اساس هدف نقض شده تطبیق دهند.