攻击者首先构造包含恶意内容的文件（如伪装成文档、图片等的可执行文件），并通过聊天记录转发场景，诱导用户点击聊天记录。