Naturalmente, è perfettamente comune ed è una parte standard del set di funzionalità di tutti i malware commerciali moderni di oggi, ed è stato diffuso sin dalle prime versioni di ZeuS. La pagina visitata tramite l'URL legittimo è normalmente parzialmente o completamente modificata al volo.
Normalmente si ottiene iniettando nel processo del browser e agganciando le chiamate di sistema WinAPI, che contengono dati di richiesta e risposta HTTP non elaborati. Questo articolo contiene l'elenco completo delle chiamate API collegate per ZBot, se sei interessato.
Naturalmente, l'iniezione nel processo significa che il malware dovrebbe spesso indirizzare specifiche versioni del browser. Gli autori di malware elencano comunemente i browser e le loro versioni che il loro prodotto può iniettare e spesso aggiornano il loro malware subito dopo l'aggiornamento del browser di destinazione (se vogliono rimanere in cima al mercato).
ZeuS, le sue varie modifiche, SpyEye e la maggior parte degli altri robot con funzionalità di "iniezione del browser" presentano una caratteristica molto interessante: un piccolo "linguaggio di parsing e sostituzione" incorporato per i loro file di configurazione che consente agli utenti di malware di configurare le modifiche nelle risposte HTTP per pagine specifiche.
Questa lingua è fondamentale per la sostituzione del testo: è possibile specificare l'URL o la maschera URL per le risposte da modificare, quindi fornire un elenco di blocchi di sostituzione, ognuno dei quali specifica alcuni dati da inserire (il "corpo"); dati nella risposta originale dopo che il "corpo" deve essere inserito e / oi dati nella risposta originale prima di che il "corpo" deve essere inserito.
Le configurazioni scritte in questo "linguaggio", dette "iniezioni" o "webinject", sono un vero e proprio mercato. "Webinject" ben scritti indirizzati alle banche o ai sistemi di pagamento online, con i loro web-panel amministrativi ben scritti, possono vendere per centinaia di dollari.
Questo è principalmente usato, come hai detto correttamente, per il phishing. Tuttavia, è molto diverso dal phishing regolare essere molto più difficile da identificare. Viene anche spesso usato per pubblicità e clickfraud.