Nicht unbedingt, der Angreifer könnte dann ja auch das Originalformular für eine gewisse Zeit blockieren, oder nicht?

Sicher - er kann aber automatisch eine zusätzliche Transaktion dazuschmuggeln - das ist imho wesentlich einfacher.

Möglichkeiten gibts viele - wenn der angreifer bereits so weit "drin" ist, kann er prinzipiell alles tun.

Wenn jemand die Möglichkeit hat auf deinem Rechner ungefragt etwas zu installieren, kann er problemlos etwas ähnliches wie Stylish und Greasemonkey installieren und beliebige JavaScript- oder CSS-Schnipsel "ausführen". Somit könnte er z.B. eine zusätzliche Transaktion in die Liste einfügen und diese mittels JavaScript und CSS einfach wieder ausblenden während du diese (ohne sie zu sehen) bestätigst.

Ebenfalls könnte er in weiterer Folge bestimmte Buchungszeilen rausmanipulieren - auch mit JavaScript und CSS - damit du lange nicht merkst, dass du jemandem etwas überwiesen hast, was du eigentlich nicht wolltest.

Wenn das dann auch noch kleine Beträge mit unauffälligen Texten sind - z.B. "eBay lustiges taschenbuch, artikelnummer 12356", wird deine Bank auch keinen verdacht schöpfen.

Und schon ist die TAN nicht mehr so wertlos.

Auch wieder wahr, ja.

Für diesen Zweck sind aber eher die Logindaten interessant.
Diese habe ich ja nun auch eingegeben, ich sollte somit davon ausgehen, dass die Login-Daten bekannt sind.

Sofern du wirklich "infiziert" bist ja.