相關(guān)黑客首先發(fā)送一批偽造成公司業(yè)務(wù)往來信息的網(wǎng)絡(luò)釣魚郵件，其中帶有含有木馬的 Excel 附件。一旦收件人打開附件，就會(huì)看到相關(guān)文件受到保護(hù)，要求用戶啟用編輯功能才能查看內(nèi)容，在用戶點(diǎn)擊“啟用編輯”按鈕后，便會(huì)觸發(fā) CVE-2017-0199 遠(yuǎn)程代碼執(zhí)行漏洞，之后受害者設(shè)備便會(huì)在后臺(tái)自動(dòng)下載運(yùn)行黑客預(yù)備的 HTML 文件（HTA）。

值得注意的是，這一 HTA 文件據(jù)稱使用 JavaScript、VBScript 等腳本并結(jié)合 Base64 編碼算法和 PowerShell 命令進(jìn)行多層包裝以避免被安全公司發(fā)現(xiàn)。一旦 HTA 文件被啟動(dòng)，它會(huì)將黑客預(yù)備的?dllhost.exe 下載到受害者設(shè)備上運(yùn)行，而后相關(guān)?exe 文件會(huì)將惡意代碼注入到一個(gè)新的進(jìn)程 Vaccinerende.exe 中，從而傳播?Remcos?RAT?木馬。

研究人員指出，黑客為隱藏其蹤跡利用了多種反追蹤技術(shù)，包括“異常處理”、“動(dòng)態(tài) API 調(diào)用”等手段，以達(dá)到規(guī)避檢測的目的。就此，安全公司提醒企業(yè)及用戶個(gè)人應(yīng)及時(shí)更新?Office?軟件，降低被黑客攻擊的風(fēng)險(xiǎn)。