uno de los casos que tuvimos en la empresa fue que a un usuario le llegó un correo con un zip adjunto, esta persona abrió el zip, el cual contenía otro zip, y así como 4 o 5 veces hasta que al final había un archivo, el cual abrió y se ejecutó el malware, en su momento, la empresa que nos proveía de la seguridad (symantec) nos advirtió que esto era imposible de detectar y lo mejor era bloquear los correos con ciertos tipos de adjuntos (zip, exe, rar, etc.).
Saludos
Lainx