Les hackers ont développé une interface personnalisée, laquelle est activée lorsque la victime introduit la carte bancaire dans le lecteur de la machine. Une fois ces données confidentielles récupérées, ces dernières pourraient être imprimées via le gestionnaire de reçus bancaires ou écrites directement sur un disque amovible introduit dans le lecteur de cartes. Les experts soupçonnent également qu'une partie du code est utilisée pour manipuler la fente via laquelle sont distribués les billets.
Cet exécutable, isadmin.exe, remplace le fichier d'origine et génère lsass.exe au sein du répertoire C:\WINDOWS, lequel écrase à son tour le fichier légitime au sein C:\WINDOWS\system32. Les informations récupérées seraient enregistrées au sein d'un fichier dans C:\WINDOWS\kl.
Pour de plus amples informations retrouvez l'étude de Trustlabs SpiderLabs ici (PDF en anglais).
