Fortinet 的 FortiGuard 实验室发现了利用 Remcos RAT（远程管理工具）新变种的复杂网络钓鱼活动。该活动以一封包含恶意 Excel 文档的钓鱼电子邮件开始，该文档利用了 CVE-2017-0199 漏洞，允许攻击者在受害者的设备上远程执行代码。Fortinet 的报告指出：”Remcos 是一种商用 RAT……然而，威胁行为者滥用 Remcos 收集受害者的敏感信息，并远程控制他们的计算机以实施进一步的恶意行为。

一旦打开所附的 Excel 文件，CVE-2017-0199 漏洞就会激活，悄无声息地下载一个 HTA（HTML 应用程序）文件。“HTA文件是一个由Windows本地应用程序（mshta.exe）执行的HTML应用程序文件，”Fortinet的报告详细指出，该文件随后会下载一个名为dllhost.exe的文件到受害者的设备上。该文件用多种语言启动一系列脚本，包括 JavaScript、VBScript 和 PowerShell，以隐藏恶意代码并逃避检测。

一旦 dllhost.exe 被执行，它就会启动进程空洞化，这是一种将恶意代码注入新创建的进程 Vaccinerende.exe 的技术。该进程会隐藏代码，使其无法被标准监控工具发现。据 Fortinet 称，“恶意代码执行进程空洞化，将自己放入一个新创建的 Vaccinerende.exe 进程中”–这种技术增强了攻击的隐蔽性。为了保持持久性，恶意软件在 Windows 注册表中创建了一个自动运行条目，使其即使在系统重新启动后也能重新激活。

设置完成后，恶意软件会解密并完全在内存中运行 Remcos 有效载荷，从而避免了可能引起怀疑的传统文件存储方式。然后，Remcos RAT 会连接到一个命令与控制（C2）服务器，发送有关受害者系统的数据，如 Fortinet 所描述的 “处理器信息、内存状态、用户权限级别以及 C&C 服务器的 IP 地址”。

Remcos 的功能扩展到一系列间谍和控制功能，从键盘记录和截屏到收集运行进程列表和控制受害者设备上的程序。正如 Fortinet 指出的那样，Remcos 可以执行 “来自服务器的控制命令数据，然后在受害者的设备上执行相应的操作”，这表明了它在各种情况下的适应性。

为了保持隐蔽性，该活动采用了先进的反分析方法，包括定向异常处理、动态 API 调用和反调试技术。Fortinet 强调了 “它如何对多个 API 使用 API 挂钩技术 ”来逃避检测并阻止分析工具监控其行为。