La lista individuata comprende gli URL di 20 banche italiane. Si tratta di un modulo in grado di modificare dinamicamente il contenuto delle pagine, iniettando codice JavaScript al fine di alterare la form di autenticazione quando la vittima visita, con il proprio browser, uno degli URL presenti nell’elenco.