Събирането на лична информация за потребителите, особено бисквитките на браузъра и сесиите за удостоверяване, беше основната цел на атаката. Експертите отбелязаха, че основните цели са услугите с изкуствен интелект и платформите за реклама в социалните медии, със специален акцент върху акаунтите във Facebook Ads.
По ирония на съдбата, Cyberhaven, компания, която предлага решения за киберсигурност, беше един от засегнатите бизнеси. Фишинг имейл беше използван за компрометиране на тяхното разширение за предотвратяване на загуба на данни. В 20:32 часа на 24 декември беше достъпна злонамерената версия на тяхното разширение (24.10.4).
Въпреки че компанията реагира бързо, идентифицирайки проблема на следващия ден в 18:54 часа, зловредният код продължи да функционира до 21:50 часа на 25 декември.
Хайме Бласко, изследовател по сигурността, отбелязва, че нито една конкретна компания не е била обект на тази атака. Той откри същия зловреден код в други разширения, като VPN и AI инструменти, докато провеждаше разследването си.
След инцидента Cyberhaven пусна редица насоки за сигурност за организации, които могат да бъдат засегнати.
Важните предпазни мерки включват внимателна проверка на системните регистрационни файлове за необичайна активност и незабавна промяна на паролите на всички идентификационни данни, ако не използват усъвършенствания стандарт за сигурност FIDO2 за многофакторно удостоверяване.
Актуализирана, защитена версия на разширението, обозначена като 24.10.5, вече е предоставена от компанията.