Bei Windows darf jedes Programm auf alle Nutzerdaten zugreifen. Der Browser-Profilordner liegt ungeschützt herum (bei Firefox, Chrome usw.), also kann ein bösartiges Programm ohne Nutzerinteraktion oder Admin-Rechte darauf zugreifen und sämtliche Verlaufsdaten, Cookies, Konfigurationen, teils Passwörter usw. abgreifen.
Also ein bösartiges Programm, dass muss man erstmal downloaden, ggf. installieren und bewusst starten.
Von ganz alleine startet das nicht. Erst durch Doppelklick verschafft man dem Programm Admin-Rechte.
Wobei der MS-Defender schon ganz gut darin ist, Malware zu erkennen.
Allerdings, vor 15 Jahren hab ich mir mal nen Trojaner eingefangen der genau das gemacht hat. Der Typ hat versucht Passwort und Telefonnummer von meinem Bankkonto zu ändern, das hat nicht geklappt. Die haben es vorläufig gesperrt aber drin war der auf jeden Fall.
Dann hat der dreiste Hacker auf Amazon einen Laptop und eine Tube Gleitgel bestellt und das an eine Packstation in Hamburg senden lassen. Ich war damit beim Anwalt, das hat dann nur ein viertel davon gekostet. Lachen mussten wir trotzdem
Ich hatte auch vor ca. 10-15 Jahren einen Banktrojaner drauf. Der wurde von Avira (hatte ich damals drauf) NICHT erkannt, aber von Malware Bytes. 
Glücklicherweise harmlos, weil nur auf spanische Banken eingestellt und Santander hatte ich nicht.
