رصد خبراء أمن المعلومات، حملة سيبرانية معقدة، تستغل وظيفة البحث في نظام Windows لخداع الضحايا لتحميل برامج ضارة.
ووفقاً لباحثين بمؤسسة Trustwave SpiderLabs، فأسلوب الاختراق المتبع في الهجوم الجديد يخفي نية المهاجم الحقيقية بذكاء فائق، مستغلة الثقة التي يضعها المستخدمون في واجهات الاستخدام المألوفة والإجراءات الشائعة مثل فتح مرفقات البريد الإلكتروني.
يبدأ الهجوم برسالة تصيد إلكتروني تتظاهر بأنها فاتورة رقمية أو مستند مهم، بحيث تكون متضمنة داخل ملف مضغوط بامتداد ومعه ملف HTML، وذلك لتتجاوز برامج مكافحة الفيروسات وبرامج أمان البريد الإلكتروني التي تتجاهل المحتويات المضغوطة.
عندما يقوم المستخدم بفتح ملف HTML، يتم تشغيل ميزة "ويندوز إكسبلورر Windows Explorer"، وهو محرك للبحث عن الملفات داخلياً على حاسوب المستخدم، ومن ثم يقوم محرك البحث على ويندوز بالبحث عن العناصر المسماة باسم "INVOICE" وذلك على متن خادم إلكتروني لدى خدمة كلاود فلير السحابية، دون علم المستخدم.
ثم يقوم الملف الخبيث بإعادة تسمية حافظة الملفات الخاصة بالملف المضغوط بعد فكه باسم Downloads، مما يخدع الضحايا للاعتقاد بأنهم ينظرون فعلياً إلى الملف الذي "نزلوه"، وليس ملف مضغوط، ويوجد بداخله الملف الذي يتوقعون تحميله من مرفقات بريدهم الإلكتروني.
من بين الملفات المقدمة للضحايا هو مستند بامتداد .LNK يشير إلى ملف بامتداد .BAT مستضاف على نفس الخادم لدى كلاود فلير، والذي بمجرد تنشيطه يبدأ الهجوم الحقيقي على حاسوب المستخدم.