Het paard, Infostealer.Snifula, installeert malware die bij het opstarten wordt geladen. Het paard houdt daarnaast gegevens bij die in formulieren worden ingevuld, aldus de onderzoekers.

De trojan, die vorige week al door McAfee werd ontdekt, is gebaseerd op de platformonafhankelijke objectmodellen (xpcom's). Deze xpcom's worden door ontwikkelaars gebruikt om extensies voor Firefox te ontwikkelen.

Volgens Candid Wuest van Symantec gebruiken kwaadwillenden steeds vaker de XPConnect Java-interface om zichzelf toegang te verschaffen tot xpcom-objecten. In het geval van deze trojan worden gestolen gegevens met xpcom-objecten naar een vooraf opgegeven adres gestuurd.

Wuest voorspelt dat de aanvallen op Firefox-gebruikers zullen toenemen. "Met de constante toename van Firefox-gebruikers groeit ook het aantal kwaadaardige Firefox-extensies. Zodra iets populair wordt, wordt het eveneens een populair doelwit", stelt hij.