Kod złośliwy, nazwany przez BitDefender Trojan.PWS.ChromeInject.A. umiejscawia się w folderze dodatków Firefox i uruchamia z chwilą startu przeglądarki.

Trojan wykorzystuje JavaScript do identyfikowania ponad stu różnych witryn finansowych i związanych z transferem płatności, w tym m.in. Bank of America, PayPal, a także kilkanaście banków włoskich i hiszpańskich. Po rozpoznaniu witryny, przechwytywane są loginy i hasła, które następnie wysyłane są do serwera w Rosji.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Użytkownicy mogą być zainfekowani trojanem metoda "drive-by download", która wykorzystuje luki w przeglądarce, lub poprzez zachętę sprowadzenia uzupełnienia przeglądarki z zainfekowanej witryny.

Po uruchomieniu na pececie, trojan rejestruje się w systemie plików Firefox jako "Greasmonkey", dołączając również kolekcje skryptów zapewniających dodatkową funkcjonalność stronom interpretowanym przez Firefox.

Użytkownicy powinni unikać sprowadzania niezweryfikowanego oprogramowania i niepodpisanych dodatków do przeglądarki - repozytorium dodatków do przeglądarki Mozilli nie zawiera tego trojana, ponieważ firma podejmuje odpowiednie kroki, aby jej oficjalna witryna zawierają rozszerzenia do przeglądarki była wolna od robaków.