据外媒报道，墨西哥出现了一种面向ATM机的新型恶意软件家族，使得攻击者能够输入两组特殊的PIN码来洗劫ATM的钞箱。Proofpoint的研究人员率先留意到并分析了这款ATM恶意软件，诡异的是，它和卡巴斯基于2014年10月发现、在俄罗斯和东欧地区肆虐的Padpin ATM恶意软件有不少共同点。

新款恶意软件的名字叫做GreenDispenser，它的不同之处是拥有两项使其难以被检测到的特殊技能，甚至可以在一段时间后自动禁用自己。

需要指出的是，想要感染这些ATM，必须先得物理接触到目标机器，所以这件事情很大程度上就是内鬼所为、或者银行员工在安装时没能留意到程序有被恶意软件所修改过。

万幸的是，想要揪出这些被感染的机器并不是难事，因为它们都会显示一则虚假的服务消息——“Temporalmente fuera de servicio”（西班牙语的“服务暂不可用”）。

一旦被安装，GreenDispenser就会像近期曝光的另一款名叫SUCEFUL的ATM恶意软件一样，通过XFS中间件为攻击者敞开PIN码输入的交互之门。

然后，攻击者会输入两组PIN码来洗劫ATM机。Proofpoint的研究人员指出，第一组PIN码是为了唤起这款恶意软件，第二组PIN码则是贴在每台ATM机上的条码标签。

这款恶意软件还附加了深度删除功能，以便攻击者在把钞箱洗劫一空之后，清除掉自己留下的踪迹。

考虑到某些可能无法得逞的场景，GreenDispenser的源代码中还包括了第二重“保护措施”。当它每次启动的时候，都会检查一下日期和时间。如果在其硬编码值之后，就不会执行。

如此一来，它就能够继续隐藏下去，知道攻击者用新版本来替换它，或者在今后得逞之时删除掉自己并掩盖痕迹。