Mit einer sog. "HTML-Injection" können Trojanische Pferde zusätzliche Eingabefelder in Online-Formulare von Web-Seiten einfügen. Die Malware kann auf diese Weise vertrauliche Daten erspähen, etwa auf Websites von Banken. Ein solches Trojanisches Pferd namens "Limbo" ist mittlerweile für eine größere Zahl von Online-Betrügern verfügbar. Sicherheitsforscher von RSA Consumer Solutions berichten, dass der Schädling diese Methode benutzt, um zusätzliche Eingabefelder in Online-Formulare einzufügen. Durch die zunehmende Verbreitung sei ein Preisverfall entstanden. Vor zwei Jahren kostete Limbo noch 5000 US-Dollar und vor einem Jahr 1000 Dollar. Heute ist der Schädling für 350 Dollar erhältlich.
Limbo ist in dem Browser des Users integriert, so dass er das Aussehen von Websites von Banken verändern, dort Formularfelder einfügen und Daten abgreifen kann. Insoweit ist es für den Anwender fast nicht erkennbar, dass etwas nicht stimmt. Als einziges Anzeichen von Malwarebefall ist auffällig, dass Daten abgefragt werden, deren Eingabe von der Bank bis jetzt nicht verlangt wurde.

Limbo gelangt im Grunde auf allen bekannten Wegen, die zum Einschleusen von Malware genutzt werden, auf den Rechner des Anwenders (Drive-by Downloads, Mail-Anhänge, Popups). Einmal installiert überwacht der Schädling die Web-Nutzung des Anwenders und wird bei bestimmten Websites, etwa denen von Banken, aktiv. Auch eine SSL-Verschlüsselung der Verbindung zu Website der Bank schützt nicht, da Limbo auf Anwenderseite an der Quelle sitzt. In neueren Varianten, die auch unter Namen wie "WSNPOEM" oder "Zeus" bekannt sind, nutzt das Schadprogramm sogar selbst SSL-verschlüsselte Verbindungen für seine Kommunikation mit der Website. Virenschutzlösungen sollen jedoch die meisten Varianten von Limbo erkennen.