Вид атаки, при котором злоумышленник берет под контроль трафик между компьютером пользователя и веб-сервером, обслуживающим сайт, и изменяет содержимое сайта. Вредоносное ПО внедряется в операционную систему устройства жертвы и устанавливает расширение браузера, которое при запуске страницы проверяет ее соответствие списку целевых сайтов, который есть у злоумышленников (чаще всего это сайты, связанные с финансовыми транзакциями). Если загружаемая страница соответствует значению в списке, расширение перехватывает и изменяет данные, введённые в веб-формы на этом сайте и отправленные веб-серверу.