این تهدید، بعد از اینکه بانکی روسی هدف حمله قرار گرفت، کشف شد. در این حمله مجرمان سایبری کنترل عابربانک را بدست گرفتند و بدافزاری روی آن فرستادند. با اینکه شاکی  پرونده بعد از سرقت، این بدافزار را از بین برد و برای محققین امکان تجزیه و تحلیل را باقی نگذاشت، اما ردپای بدافزار و اسم بعضی از فایل ها، بعد از حمله بازیابی شد که امکان تجزیه و تحلیل را به محققان کسپرسکی داد.

فایلها توسط محققان امنیتی ، بازیابی شد( در این جا: C:WindowsTempkl.txt and C:logfile.txt ) و اسامی آن دو فایل قابل اجرا عبارت است از : C:ATM!A.EXE  و  C:ATMIJ.EXE . البته کسپرسکی به این نکته اشاره کرد که محتوای درون فایلها را نتوانستنه اند بازیابی کنند.

برطبق اطلاعات بدست آمده از فایلهای ردپا، محققین، قاعده‌ ای را برای یافتن یک نمونه ساختند و سرانجام یک مورد هم به شکل "tv.dll" پیدا کردند. این به نوبه خود منجر به کشف ATMitch شد، قطعه بدافزاری که در اصل برای هکرها امکان اداره از راه دور عابربانکها را بوجود می‌آورد.آنها بدافزار را نصب میکنند و از طریق اتصال از راه دور ، آن را اجرا میکنند و به عابربانک مربوط به آن بانک دسترسی پیدا میکنند. یک مرتبه عامل تهدید در سیستم آلوده شده به دنبال فایل"command.txt" که در همان آدرس نصب خود بدافزار است، میگردد. چرا که این فایل شامل فهرستی از دستورات حروفی زیر است:

"O" – ناظر را باز کن.

 "D" – نظارت کن.

 "I" – فایل XFS اولیه. 

  "U"-  قفل XFS را باز کن.

"S" – نصب کن. 

  "E" – خارج شو.

 "G" – شناسه ناظر را بگیر.

"L" – شناسه ناظر را تنظیم کن.

 "C" – لغو کن.

سپس بدافزار، نتایج دستور را در فایل ردپا مینویسد و "command.txt" را از حافظه عابربانک پاک میکند. ATMitch که ظاهرا سعی در پنهان کردن خود در سیستم ندارد، از مخزن XFS استاندارد برای کنترل عابربانک استفاده میکند، به این معنی است که چنین کاری را میتوان بر همه عابربانک هایی که از مخزن XFS پشتیبانی میکنند انجام داد.

فایل های اجراشدنی !A.exe و IJ.exe که باید نصب کننده و لغونصب کننده‌ی بدافزار باشند، بازیابی نشدند. محققان میگویند که "tv.dll"  حاوی یک منبع روسی زبان است.

کسپرسکی خاطرنشان میکند که این حمله به یک حمله بدون فایل در فوریه 2017 مفصل شرح داده مرتبط است که سازمانهای زیادی را در سراسر دنیا هدف قرار داد. همانطور که Cisco و FireEye بخوبی توضیح دادند، مورفیسِک ماه گذشته فاش کرد که این حمله به چارچوب حمله ایی که در حوادث سریالی دیگر نیز استفاده شده بود گره خورده است.