这个弹出式对话框列出了详细的操作步骤，首先他们要求用户按下拷贝代码的按钮，然后打开PowerShell，并在主控台窗口点击鼠标右键，然后等待脚本运行完成再重新加载网页。

然而用户一旦照做，就会在PowerShell命令行窗口粘贴攻击者的脚本并运行。他们看到对方清除DNS缓存、移除剪贴板的内容，显示诱骗消息，并从远程取得另一个PowerShell脚本，在内存内运行，而这个脚本的功能，会确认受害电脑是否是资安人员的测试环境，其方法是检查电脑是否回传系统温度。

若是通过上述检查，黑客就会利用经过AES编码的脚本部署恶意程序，他们借由恶意程序加载工具IDAT Loader（也叫做HijackLoader、DOILoader），于受害电脑加载窃资软件Lumma Stealer，之后，还会再部署挖矿软件、剪贴板挟持程序，以及另一个恶意程序加载工具Amadey Loader，企图植入更多恶意软件。

也有佯称Word、OneDrive等应用程序出错的攻击手法

另一个黑客组织TA571使用的手法略有不同，他们先是寄送带有HTML附件的电子邮件，一旦收信者打开附件，电脑就会显示看起来像是Word操作界面的网页，并显示错误消息，宣称用户未在浏览器安装Word Online延伸套件，若要脱机视图文档，必须依照指示操作。

在上述页面中，对方提供了修复方法（How to fix）、自动修复（Auto-fix）等选项。假如收信人点击修复方法的按键，就会将PowerShell脚本拷贝到剪贴板，此时，上述网页内容就会变换成要求打开PowerShell，并右键点击终端机窗口的指示，对方将会发送MSI安装档或是VBS脚本，从而于受害电脑部署恶意软件Matanbuchus、DarkGate。

若是用户按下了自动修复的按钮，电脑就会启动搜索通信协定（search-ms），在文件总管显示含有前述MSI档及VBS文件的WebDAV文件夹。

除了声称Word错误，研究人员也看到黑客声称OneDrive运行错误的情况，对方制作类似OneDrive操作界面的网页，一旦用户打开就会出现错误消息，要求依照指示操作，手动更新DNS的缓存内容。

研究人员指出，虽然这种攻击手法过程中需要用户大量交互，但对方借由应用程序的错误消息，并提供了「解决方案」，使得用户很可能降低警觉，依照画面上的指示解决问题，而落入黑客的圈套。对此，研究人员呼吁企业组织，应在资安意识的训练中，教育用户识别这种攻击手法。