为了回避侦测，黑客将此网站使用的JavaScript代码文件，伪装成程序库3.7.1版JQuery的JavaScript代码文件（/crowdstrike/media/jquery-3.7.1.min.js），并且在这个JS文件加入JQuery代码，企图鱼目混珠。

一旦用户点击下载链接，钓鱼网站就会触发已在前述的JavaScript文件定义的功能，对特定的SVG图档发出HTTP GET请求，并使用正则表达式解析，从而在受害电脑下载、解码经过Base64处理的JavaScript存储体（Blob），并将其存盘为可运行档。特别的是，若是上述的过程出现错误，电脑还会显示假的错误消息，声称是JQuery出错所致。

当用户成功下载、运行黑客提供的安装程序，这个安装程序不仅包含CrowdStrike的商标，并采用德文界面，而在「安装」完成后，还会要求用户输入后台服务器的位置。但研究人员发现，由于安装程序并未检查输入的内容能否成功连接，无论用户是否提供相关数据，都会显示发生连接错误的消息。

研究人员指出，对方提供的安装程序受到密码保护，因此他们尚未成功拆解内含的有效酬载，无从得知攻击者使用的恶意软件。但他们提到该安装程序创建的时间在12日，正好与该公司EDR系统19日派送的内容更新文件产生时间一致，研判很有可能是黑客用来干扰资安人员搜证的手法。