代理更换方式（proxy-changing method）是恶意软件开发者的经典方式，它围绕着手工更换浏览器的代理配置文件来替换掉浏览器默认的PAC（代理自动配置）文件。这些恶意PAC文件能够引导所有浏览器的流量通过一个由攻击者创建的节点，能够用于登记所有的细节。为了打破加密的HTTPS链接，ATMZombie同时还在受感染PC上安装了签署自己名字的证书。

一旦数据被窃取，攻击者就会进入“手动模式”阶段，因为在以色列当地允许银行账户在没有银行账号或者信用卡的情况给某人转账，所以目前该恶意程序爆发主要集中在以色列。使用窃取的凭证，攻击者能够登陆受害人的账号，并发送小型支付到攻击者的钱骡上。攻击者也会使用SMS功能来实现，这仅针对以色列银行。

钱骡收到SMS端口之后，可以到当地任意银行ATM上输入短信上信息和授权码，ATM就会自动从受害人账号上完成转账。卡巴斯基分析师表示多家以色列银行已经被这种方法攻击，目前已经有数百名受害者。所幸的是这种方法并不允许大额现金，无法完成750美元以上的支付。