资安业者Proofpoint揭露在上述页面中,对方提供了修复方法(How to fix)、自动修复(Auto-fix)等选项。假如收信人点选修复方法的按键,就会将PowerShell指令码复制到剪贴簿,此时,上述网页内容就会变换成要求开启PowerShell,并右键点选终端机视窗的指示,对方将会传送MSI安装档或是VBS指令码,从而于受害电脑部署恶意软体Matanbuchus、DarkGate。
若是使用者按下了自动修复的按钮,电脑就会启动搜寻通讯协定(search-ms),在档案总管显示含有前述MSI档及VBS档案的WebDAV资料夹。
除了声称Word错误,研究人员也看到骇客声称OneDrive执行错误的情况,对方制作类似OneDrive操作介面的网页,一旦使用者开启就会出现错误讯息,要求依照指示操作,手动更新DNS的快取内容。