然而若是收信人照做，点击下载按钮，电脑就会向Cloudflare Worker发出HTTP POST请求，对方借此过滤目标，完成后下载RAR压缩档到受害电脑。

此压缩档内含数个文件，其中一个文件名带有大量Unicode字符U+201F，此字符在Windows操作系统显示为空格，攻击者这么做的目的，就是为了让收信人降低戒心，忽略此文件实际是CMD批量档。

而这个压缩档内含另一个无害的付款发票PDF文件，一旦收信人通过WinRAR打开压缩档，并试图视图PDF文件，就会触发CVE-2023-38831，运行CMD文件，从而启动CookBox，而能让攻击者持续于受害电脑上活动。

值得留意的是，CMD文件还会打开压缩档里的其他Word文件，这些文件内容看起来是乌克兰官方文档，很有可能是用来转移收信人的注意力。

对此，Cloudforce One采取反制行动，延后对方发动攻击的时间，他们先是封锁黑客使用的Cloudflare Worker，而对方企图新帐号设置多个Cloudflare Worker，但后续皆遭到停用，导致黑客更改攻击链，由GitHub存取前述RAR文件。

研究人员向GitHub通报此事，该代码存储库下架相关项目，并移除钓鱼网站。他们也提供PowerShell脚本，并对于Splunk、微软云端资安信息及事件管理（SIEM）平台Sentinel提供相关的侦测规则，来识别黑客黑客在受害电脑触发CVE-2023-38831的情况。