Na een Trojaans paard dat foto's van Windows-computers steelt, is er ook een variant ontdekt die wachtwoorden buitmaakt. Waarschijnlijk is de Passtealer Trojan door dezelfde auteur gemaakt die eerder de Pixsteal Trojan verspreidde. De Passtealer Trojan zoekt naar accounts van verschillende online diensten en stuurt die via FTP naar een server van de malwaremaker.

In tegenstelling tot de meeste wachtwoordstelers, die keyloggers gebruiken, gebruikt Passteal een 'password recovery app'. De app is bedoeld voor gebruikers om hun wachtwoord te achterhalen, maar Passteal gebruikt die om de inloggegevens te stelen. In de variant die anti-virusbedrijf Trend Micro analyseerde werd PasswordFox gebruikt, een uitbreiding voor Firefox.

De malware gebruikt het programma om wachtwoorden van Facebook, Twitter, Pinterest, Tumblr, Google, Yahoo, Microsoft, Amazon, EBay, Dropbox en banksites te verzamelen.

De inloggegevens worden in een tekstbestand opgeslagen en vervolgens via FTP verstuurd. Naast in de browser opgeslagen wachtwoorden verzamelt de malware ook inloggegeven van diensten zoals Steam en JDownloader. De malware zou inmiddels op meer dan 400 computers zijn aangetroffen.