骇客利用 RAT发动攻击的情况，不时有事故传出，而最近一波攻击行动里，攻击者採用了新的手法来迴避侦测，因而引起研究人员的注意。

资安业者Fortinet发现假借公司业务往来的网路钓鱼攻击，骇客声称寄送採购单（PO）的名义，寄送带有Excel文件附件的钓鱼信，一旦收信人开启附件文件，就会看到这份文件受到保护的讯息，若要检视内容，就必须依照指示启用编辑功能及启用内容，然而若是照做，就会触发远端程序码执行漏洞CVE-2017-0199，攻击者藉此于后台下载HTML应用程序文件（HTA），并于受害电脑执行。

值得留意的是，为了避免东窗事发，此HTA採用JavaScript、VBScript等多种指令码，并搭配Base64演算法、PowerShell指令来进行多层包装。一旦该HTA文件启动，就会将dllhost.exe下载到受害电脑并执行。

此执行档会利用处理程序挖空（Process Hollowing）手法，将恶意程序码注入新的处理程序Vaccinerende.exe，从而在记忆体内执行Remcos RAT有效酬载，然后向C2服务器进行注册、接收命令，而这么做的目的，就是避免于磁碟上留下痕迹。

研究人员指出，攻击者为了隐匿行蹤，他们採用多项反分析手法，包含向量异常处理、动态API呼叫、反除错手法来达到目的。