這個彈出式對話框列出了詳細的操作步驟，首先他們要求使用者按下複製程式碼的按鈕，然後開啟PowerShell，並在主控臺視窗點選滑鼠右鍵，然後等待指令碼執行完成再重新載入網頁。

然而使用者一旦照做，就會在PowerShell命令列視窗貼上攻擊者的指令碼並執行。他們看到對方清除DNS快取、移除剪貼簿的內容，顯示誘騙訊息，並從遠端取得另一個PowerShell指令碼，在記憶體內執行，而這個指令碼的功能，會確認受害電腦是否是資安人員的測試環境，其方法是檢查電腦是否回傳系統溫度。

若是通過上述檢查，駭客就會利用經過AES編碼的指令碼部署惡意程式，他們藉由惡意程式載入工具IDAT Loader（也叫做HijackLoader、DOILoader），於受害電腦載入竊資軟體Lumma Stealer，之後，還會再部署挖礦軟體、剪貼簿挾持程式，以及另一個惡意程式載入工具Amadey Loader，企圖植入更多惡意軟體。

也有佯稱Word、OneDrive等應用程式出錯的攻擊手法

另一個駭客組織TA571使用的手法略有不同，他們先是寄送帶有HTML附件的電子郵件，一旦收信者開啟附件，電腦就會顯示看起來像是Word操作介面的網頁，並顯示錯誤訊息，宣稱使用者未在瀏覽器安裝Word Online延伸套件，若要離線檢視文件，必須依照指示操作。

在上述頁面中，對方提供了修復方法（How to fix）、自動修復（Auto-fix）等選項。假如收信人點選修復方法的按鍵，就會將PowerShell指令碼複製到剪貼簿，此時，上述網頁內容就會變換成要求開啟PowerShell，並右鍵點選終端機視窗的指示，對方將會傳送MSI安裝檔或是VBS指令碼，從而於受害電腦部署惡意軟體Matanbuchus、DarkGate。

若是使用者按下了自動修復的按鈕，電腦就會啟動搜尋通訊協定（search-ms），在檔案總管顯示含有前述MSI檔及VBS檔案的WebDAV資料夾。

除了聲稱Word錯誤，研究人員也看到駭客聲稱OneDrive執行錯誤的情況，對方製作類似OneDrive操作介面的網頁，一旦使用者開啟就會出現錯誤訊息，要求依照指示操作，手動更新DNS的快取內容。

研究人員指出，雖然這種攻擊手法過程中需要使用者大量互動，但對方藉由應用程式的錯誤訊息，並提供了「解決方案」，使得用戶很可能降低警覺，依照畫面上的指示解決問題，而落入駭客的圈套。對此，研究人員呼籲企業組織，應在資安意識的訓練中，教育使用者識別這種攻擊手法。