Збір приватної інформації користувача, зокрема файлів cookie браузера та сеансів автентифікації, був головною метою атаки. Експерти зазначили, що основними цілями були сервіси штучного інтелекту та рекламні платформи в соціальних мережах, з особливим акцентом на облікові записи Facebook Ads.
За іронією долі, компанія Cyberhaven, яка пропонує рішення для кібербезпеки, була однією з постраждалих компаній. Фішинговий електронний лист був використаний для компрометації їхнього розширення для запобігання втраті даних. О 20:32 24 грудня стала доступною шкідлива версія їхнього розширення (24.10.4).
Незважаючи на те, що компанія швидко відреагувала, виявивши проблему наступного дня о 18:54, шкідливий код продовжував функціонувати до 21:50 25 грудня.
Хайме Бласко, дослідник безпеки, зазначає, що жодна конкретна компанія не була метою цієї атаки. Той самий шкідливий код він знайшов і в інших розширеннях, таких як VPN та інструменти штучного інтелекту, під час проведення свого розслідування.
Після інциденту Cyberhaven випустила низку рекомендацій з безпеки для організацій, які можуть постраждати.
Важливі запобіжні заходи включають ретельну перевірку системних журналів на наявність незвичайної активності та негайну зміну паролів усіх облікових даних, якщо вони не використовують складний стандарт безпеки FIDO2 для багатофакторної автентифікації.
Оновлена, безпечна версія розширення, що отримала позначення 24.10.5, вже стала доступною компанією.