相關黑客首先發(fā)送一批偽造成公司業(yè)務往來信息的網絡釣魚郵件，其中帶有含有木馬的 Excel 附件。一旦收件人打開附件，就會看到相關文件受到保護，要求用戶啟用編輯功能才能查看內容，在用戶點擊“啟用編輯”按鈕后，便會觸發(fā) CVE-2017-0199 遠程代碼執(zhí)行漏洞，之后受害者設備便會在后臺自動下載運行黑客預備的 HTML 文件（HTA）。

值得注意的是，這一 HTA 文件據稱使用 JavaScript、VBScript 等腳本并結合 Base64 編碼算法和 PowerShell 命令進行多層包裝以避免被安全公司發(fā)現。一旦 HTA 文件被啟動，它會將黑客預備的?dllhost.exe 下載到受害者設備上運行，而后相關?exe 文件會將惡意代碼注入到一個新的進程 Vaccinerende.exe 中，從而傳播?Remcos?RAT?木馬。

研究人員指出，黑客為隱藏其蹤跡利用了多種反追蹤技術，包括“異常處理”、“動態(tài) API 調用”等手段，以達到規(guī)避檢測的目的。就此，安全公司提醒企業(yè)及用戶個人應及時更新?Office?軟件，降低被黑客攻擊的風險。