Một mẫu mã độc mới có tên gọi Ripper đã được tải lên cơ sở dữ liệu của VirusTotal từ một địa chỉ IP ở Thái Lan hồi tuần trước và theo báo chí địa phương tin tặc đã dùng mã độc này để lấy đi 12.29 triệu Baht từ 21 cây ATM tại quốc gia này .

Vụ việc trên đã khiến cho tất cả những cây ATM do nhà sản xuất trên đã bị dừng hoạt động ở Thái Lan để kiểm tra mã độc .

Dựa trên phân tích của FireEye , mục tiêu của Ripper nhắm tới cùng một nhãn hiệu nhà sản xuất ATM một đang dùng ở Thái Lan và hai quốc gia khác . Nó có thể vô hiệu hóa giao diện mạng cục bộ của ATM trong khi vụ đánh cắp tiền đang diễn ra .

Ngay khi cài đặt được vào ATM , Ripper chờ để ké tấn công đút thẻ với một con chip được lập trình đặc biệt . Với cơ chế này , dùng để chứng thực , đã được dùng bởi những mã độc ATM trước kia . Ngay khi đã chứng thực thành công , kẻ tấn công có thể đưa ra những mệnh lệnh để rút tiền từ cây ATM .

FireEye nói rằng , Ripper cũng có những tính năng khác tương tự như những mã độc ATM trước kia bao gồm Padpin (Tyupkin), SUCEFUL và GreenDispenser. Ví dụ , nó có tính năng tự xóa an toàn có thể được dùng  để xóa bằng chứng .

Mã độc ATM có thể triển khai theo vài cách . Một trong số đó là có tay trong là nhân viên kỹ thuật của cây ATM . Một thông qua CD-ROM hoặc qua cổng USB của cây ATM và có thể sử dụng được kèm theo với những khóa dịch vụ đặc biệt . Phương pháp thứ hai chỉ có thể nhắm tới những cây ATM đơn lẻ đặt ở những nơi không an toàn và có vẻ như đã được dùng cách này ở Thái Lan .