再者，PowerShell指令碼會停用瀏覽器的更新機制。

接著，攻擊者也會竄改瀏覽器捷徑檔（LNK）內容，在使用者同時在啟動瀏覽器的過程中，一併載入本機的特定延伸套件，從而挾持瀏覽器的搜尋結果，並與C2進行通訊。而這個套件不會在瀏覽器的延伸套件管理介面呈現，一般使用者難以察覺。

最後，這個PowerShell指令碼會與C2進行連線，回傳執行的結果，然後取得下個階段的惡意功能，過程中電腦會透過Invoke-Expression的PowerShell功能來進行，並竄改瀏覽器的DLL（chrome.dll、msedge.dll）來置換瀏覽器的搜尋引擎。

在研究人員調查此事的過程裡，他們看到駭客使用的C2網域，大多數防毒引擎都尚未視為有害。此外，他們後來也看到此PowerShell指令碼的其他變種，有些使用一年前建立的網域進行C2通訊。

這些受害電腦被植入的惡意套件當中，有些是透過Chrome store、Edge Add-ons這類瀏覽器延伸套件市集下載的，研究人員指出，針對Chrome的套件以Micro Search Chrome Extension最多，有超過18萬使用者下載，此外，還有Custom Search Bar、yglSearch、Your Search Bar，分別感染超過4萬臺電腦。

至於針對Edge的部分，則是名為Simple New Tab的套件佔大多數，有超過10萬臺電腦受害。