Wenn jemand eine Webseite derart manipulieren kann, wäre es dann nicht auch denkbar, dass der Angreifer den Wert des Feldes abfragt und diesen an sich sendet?

Ja, aber warum sollte er es tun? Wenn du die TAN eingibst, benutzt du sie idR. auch - dann ist sie für den Angreifer wertlos.

Verbreiteter ist es, dass bei den gemachten Transaktionen zusätzliche Datensätze eingefügt werden und gehofft wird, dass es nicht auffällt.

Für diesen Zweck sind aber eher die Logindaten interessant.