另一种攻击手法是在合法WordPress网站植入恶意HTML及JavaScript脚本，在用户浏览页面时，跳出目前系统侦测到Chrome存在漏洞、用户必须更新的警示消息，一旦用户按下网页上的「更新」按钮，电脑就会被重新导向，下载FakeBat。Sekoia通过代码搜索引擎PublicWWW与互联网IT设备信息搜索引擎FOFA，找寻被植入上述代码的网站，结果分别找到超过250、120个，但研究人员认为这个结果可能低估了真实情形，推测应有数千个WordPress网站受害。

最后一种是借由社交工程的手法进行，黑客假借提供Web3即时通信软件getmess[.]io，企图散布FakeBat，为了让用户不疑有他，对方不仅设置专属网站，还创建社群网站数据，上传宣传用的视频。研究人员指出，这些黑客其实是模仿名为Beoble的合法解决方案。

但特别的是，用户必须通过其他用户邀请才能取得「应用程序」，这么做的目的是为了增加可信度。而这些提供邀请码的来源，研究人员发现对方利用X或Telegram遭窃的帐号来进行，也有部分Discord帐号可能受害。