假借排除电脑错误码的名义，引诱使用者複製PowerShell命令并执行的攻击手法，最近有数起资安事故传出，例如，有人架设冒牌IT技术支援网站而散布窃资软件Vidar Stealer、也有声称应用程序出错而诱使植入恶意软件的情况，如今又有类似的网路攻击出现。

资安业者Trellix揭露针对云端文件共享服务OneDrive用户而来的攻击行动，骇客先是寄送钓鱼邮件，其中内含HTML附件档，一旦收信人开启，电脑就会显示共享PDF文件Reports.pdf的OneDrive网页，并弹出Error 0x8004de86错误讯息，声称无法与OneDrive服务连线，使用者必须手动更新DNS快取来因应。

而这个错误讯息提供使用者两个按钮，其中一个是修复方法（How to fix），另一个则是详细资料。

若是点选详细资料，骇客便会将使用者导向Microsoft Learn的DNS故障排除网页，但假如使用者点选How to fix按钮，就会看到「指示」，要求按下特定快速键（视窗键+X）并执行PowerShell或是终端机，然后在视窗里先后按下Ctrl+V及Enter。一旦使用者依照指示操作，电脑就会执行以Base64编码处理过的PowerShell命令。?

究竟骇客何时擅自将恶意指令複製到剪贴簿？答案就是使用者按下How to fix之后，会同时触发HTML文件内嵌的JavaScript指令码特定功能函数呼叫。

因此，使用者后续在终端机贴上剪贴簿的内容，就会执行攻击者下达的恶意命令。骇客会先执行ipconfig /flushdns，然后下载AutoIT执行档及恶意指令码，从而在受害电脑部署恶意软件。此外，上述作业执行完成后，电脑还会显示操作成功与要求使用者重新载入网页的讯息，此举看似正常，使得受害者难察觉有异。