在黑客架设的网站中，提供了详细的操作步骤，要用户依照指示拷贝PowerShell脚本，并打开电脑的终端机，点击鼠标右键粘贴、运行，用户为了解决电脑出现的错误消息，很有可能就会照着操作，而不慎在电脑运行黑客的恶意脚本。

研究人员解析对方提供的PowerShell脚本，其内容经过Base64编码处理，一旦运行，就会先下载特定的ZIP压缩档到电脑的暂存文件夹，然后使用URL产生POST请求，研究人员推测，这么做的目的，很可能是用来向C2服务器回报下载已经完成。

接着，该脚本解开ZIP档并运行内含的恶意酬载，完成后又解码另一组Base64字符串，得到另一个URL并发出POST请求，向攻击者回传已感染成功的消息。

值得留意的是，这些黑客也上传教学视频来试图散布PowerShell脚本。研究人员在调查的过程发现，有一支YouTube视频与之有关，其中内含来自机器人的评论，声称视频提供的方法确实有效。