相關(guān)黑客首先發(fā)送一批偽造成公司業(yè)務(wù)往來信息的網(wǎng)絡(luò)釣魚郵件，其中帶有含有木馬的 Excel 附件。一旦收件人打開附件，就會看到相關(guān)文件受到保護，要求用戶啟用編輯功能才能查看內(nèi)容，在用戶點擊“啟用編輯”按鈕后，便會觸發(fā) CVE-2017-0199 遠程代碼執(zhí)行漏洞，之后受害者設(shè)備便會在后臺自動下載運行黑客預(yù)備的 HTML 文件（HTA）。

值得注意的是，這一 HTA 文件據(jù)稱使用 JavaScript、VBScript 等腳本并結(jié)合 Base64 編碼算法和 PowerShell 命令進行多層包裝以避免被安全公司發(fā)現(xiàn)。一旦 HTA 文件被啟動，它會將黑客預(yù)備的?dllhost.exe 下載到受害者設(shè)備上運行，而后相關(guān)?exe 文件會將惡意代碼注入到一個新的進程 Vaccinerende.exe 中，從而傳播?Remcos?RAT?木馬。

研究人員指出，黑客為隱藏其蹤跡利用了多種反追蹤技術(shù)，包括“異常處理”、“動態(tài) API 調(diào)用”等手段，以達到規(guī)避檢測的目的。就此，安全公司提醒企業(yè)及用戶個人應(yīng)及時更新?Office?軟件，降低被黑客攻擊的風(fēng)險。