卡巴斯基的安全研究人員發現，一個稱為“Skimer”的惡意軟件，其新版本可記錄插入ATM的銀行卡細節信息，并令柜員機吐出現金。該軟件針對基于Windows操作系統的ATM柜員機。

Skimer最早發現于7年前，但這個軟件至今還在被網絡犯罪分子使用，并隨著時間而進化，最近的版本更是使用了新的技術以逃避安全檢測。

在安裝時，該惡意軟件會檢測當前的文件系統。如果是FAT32系統，它就會在C:WindowsSystem32目錄中留下可執行文件。如果是NTFS，則會把執行代碼寫入到與“微軟金融服務擴展(XFS)”服務相一致的NTFS數據流中。這種“看碟下菜”的檢測技術令取證分析更加的困難。

XFS服務只存在于Windows操作系統的ATM柜員機上，它提供一個特殊的API接口，系統軟件通過這個接口與ATM鍵盤進行通信。XFS這個服務，微軟并未提供任何公開的說明文檔，但犯罪分子很可能通過ATM廠商NCR的一個編程參考手冊獲利的相關信息。這份手冊在幾年前，被一個中國的電子圖書網站泄露到網上。

新版的Skimer可修改合法的XFS執行文件SpiService.exe，然后注入自身的惡意組件netmgr.dll，這個惡意組件的作用是在柜員機的鍵盤和讀卡機之前進行交互。僅當磁條上帶有特殊數據的銀行卡插入ATM機時，Skimer才會被喚醒。這個特殊數據是指卡片磁條上第二軌道的硬編碼信息，Skimer被喚醒后要么在ATM的屏幕上打開自己的界面（該動作需要得到驗證），或者自動執行包含在數據中的命令。

攻擊者得到驗證后，就可以通過界面發送命令，讓ATM柜員機內部的鈔箱往外吐鈔，并開始收集插入的銀行卡細節信息，要么更新惡意軟件要么進行卸載。

Skimer只是近年來感染ATM的數個惡意軟件其中之一，反應了這種攻擊在網絡犯罪行為中逐漸流行的趨勢。惡意軟件安裝到ATM上的方法，已經有所改變。在某些情況下，是由內部人員安裝。但在另一些時候，則是使用特別的鑰匙打開ATM機前蓋后通過CD光驅安裝。

如果攻擊者可以連入銀行的內網或者使用偷來的遠程支持憑證的話，也可以使ATM機就范。

卡巴斯基的研究員建議，可以通過定期的反病毒掃描、白名單、有效的設備管理策略、全磁盤加密、通過口令保護ATM機BIOS安全、僅允許通過硬盤加載啟動程序并將ATM機從其他銀行內部網絡隔離開這些手段，來保障ATM機的安全。