Nach den heise Security vorliegenden Informationen macht sich der Trojaner dabei wohl einen Fehler des Internet Explorers zunutze.
In den Voreinstellungen erlaubt Microsofts Browser so genannte Cross-Domain-Manipulationen.
Dabei wertet der Browser auch nur die Sicherheitsinformationen des Hauptframes aus und die stammen von der echten Seite.