Um homem no ataque ao navegador é um aplicativo capaz de roubar credenciais de login, números de conta e vários outros tipos de informações financeiras. O ataque combina o uso de cavalos de Tróia com uma abordagem de phishing exclusiva para insinuar uma janela que se sobrepõe ao navegador em um determinado computador. A presença do cavalo de Tróia é transparente para o usuário, pois não interfere com o uso normal do navegador para visitar sites e realizar transações nesses sites.

Esses ataques foram projetados para capturar informações confidenciais que podem ser usadas em proveito da entidade que iniciou o ataque. Como parte da função, o homem no processo do navegador começa com o estabelecimento do Trojan no disco rígido. O Trojan incorpora um arquivo e geralmente é difícil de isolar. Uma vez instalado o Trojan, o vírus lança uma sobreposição transparente no navegador que dificilmente será detectada.

Ao contrário dos métodos de phishing mais tradicionais que empregam links no corpo dos emails para direcionar os usuários a sites falsos e solicitar que eles insiram dados seguros, o homem no navegador simplesmente captura os dados à medida que o usuário os insere. O usuário não tem conhecimento de que os dados estão sendo invadidos, pois ele está interagindo com um site legítimo. O ataque não interfere com a transação de forma alguma neste momento.

Depois que os dados são capturados, a entidade que criou e distribuiu o ataque recebe a coleção de códigos de segurança, números de cartão de crédito ou informações de login da conta bancária e pode começar a usá-los para uma ampla variedade de propósitos. A vítima pode não estar ciente do problema até que vários cartões de crédito tenham sido usados ​​ou o saldo da conta corrente comece a cair inesperadamente.

Parte da frustração com um homem no ataque ao navegador é que o bug é muito difícil de detectar e ainda mais difícil de remover do sistema. Diferente de muitas outras formas de vírus invasivos, o invasor opera entre os protocolos de segurança do navegador e a entrada do usuário. Isso significa que as medidas de segurança padrão normalmente nem revelam a presença do vírus.