Si tratta di programmi malware in grado di spiare l’uso del computer da parte dell’utente; essi tengono ad esempio traccia dei dati immessi da quest’ultimo tramite la tastiera, catturano schermate del monitor, si procurano un elenco delle applicazioni in esecuzione sul computer-vittima, etc. Le informazioni illecitamente carpite vengono poi trasmesse al cybercriminale in agguato. Per l’invio dei dati i malfattori possono avvalersi della posta elettronica, dei protocolli FTP o HTTP (includendo i dati in una specifica richiesta), oppure di ulteriori metodi.