وإذا فتح المستلم المرفق، فإن عنوان URL الموجود في البيانات الوصفية للمستند يقوم بتنزيل ملف بنص، والذي يتم تشغيله في حالة تمكين وحدات ماكرو معينة في Word.

ويؤدي هذا بدوره إلى تنزيل نسخة من صورة جيمس ويب، التي تعرف بـ Webb's First Deep Field، والتي تحتوي على برامج ضارة تتنكر في شكل مصادقة.

ويبدو أن الشفرة الخبيثة في الصورة غير قابلة للاكتشاف بواسطة برامج مكافحة الفيروسات، حيث صرح خبراء الأمن في Securonix أن الملف الضار "لا يمكن اكتشافه من قبل جميع أنظمة مكافحة الفيروسات".

وقال نائب رئيس Securonix أوغستو باروس لـ Popular Science إنه ربما وقع اختيار صورة جيمس ويب الفضائي لأنه حتى إذا قام برنامج مكافحة الفيروسات بإلإبلاغ عن وجود خطأ ما، فقد يكون المستخدمون أكثر ميلا لتجاهل التحذير لأن هذه الصورة قد تمت مشاركتها في جميع أنحاء العالم.

كما أن اختيار المتسللين لصور جيمس ويب قد يكون أن الصور عالية الدقة التي نشرتها ناسا تأتي بأحجام ملفات ضخمة، وبالتالي تجنب الشك.

وفي يوليو الماضي، أصدرت وكالة ناسا الصورة الأولى التي طال انتظارها من تلسكوب جيمس ويب الفضائي.

تستخدم حملة البرامج الضارة أيضا Golang، لغة البرمجة مفتوحة المصدر من "غوغل"، وهو اتجاه أصبح شائعا وفقا لـ Securonix.

وهذا لأنه، على عكس البرامج الضارة التي تعتمد على لغات البرمجة الأخرى، لديهم دعم مرن عبر الأنظمة الأساسية ويصعب عليهم تحليلها وهندستها العكسية.

وأفضل طريقة لحماية نفسك من هذا الهجوم هي تجنب تنزيل المرفقات من مصادر غير مألوفة.

ميترو