然而若是收信人照做，點選下載按鈕，電腦就會向Cloudflare Worker發出HTTP POST請求，對方藉此過濾目標，完成後下載RAR壓縮檔到受害電腦。

此壓縮檔內含數個檔案，其中一個檔名帶有大量Unicode字元U+201F，此字元在Windows作業系統顯示為空格，攻擊者這麼做的目的，就是為了讓收信人降低戒心，忽略此檔案實際是CMD批次檔。

而這個壓縮檔內含另一個無害的付款發票PDF檔案，一旦收信人透過WinRAR開啟壓縮檔，並試圖檢視PDF檔案，就會觸發CVE-2023-38831，執行CMD檔案，從而啟動CookBox，而能讓攻擊者持續於受害電腦上活動。

值得留意的是，CMD檔案還會開啟壓縮檔裡的其他Word檔案，這些檔案內容看起來是烏克蘭官方檔案，很有可能是用來轉移收信人的注意力。

對此，Cloudforce One採取反制行動，延後對方發動攻擊的時間，他們先是封鎖駭客使用的Cloudflare Worker，而對方企圖新帳號設置多個Cloudflare Worker，但後續皆遭到停用，導致駭客更改攻擊鏈，由GitHub存取前述RAR檔案。

研究人員向GitHub通報此事，該程式碼儲存庫下架相關專案，並移除釣魚網站。他們也提供PowerShell指令碼，並對於Splunk、微軟雲端資安資訊及事件管理（SIEM）平臺Sentinel提供相關的偵測規則，來識別駭客駭客在受害電腦觸發CVE-2023-38831的情況。