Głównym celem ataku było zbieranie prywatnych informacji o użytkownikach, w szczególności plików cookie przeglądarki i sesji uwierzytelniania. Eksperci zauważyli, że głównymi celami były usługi AI i platformy reklamowe w mediach społecznościowych, ze szczególnym naciskiem na konta Facebook Ads.Jak na ironię, Cyberhaven, firma oferująca rozwiązania w zakresie cyberbezpieczeństwa, była jedną z dotkniętych firm. Wiadomość phishingowa została wykorzystana do naruszenia ich rozszerzenia zapobiegania utracie danych. O godzinie 20:32 24 grudnia udostępniono złośliwą wersję ich rozszerzenia (24.10.4). Mimo że firma zareagowała szybko, identyfikując problem następnego dnia o godzinie 18:54, złośliwy kod nadal działał do godziny 21:50 25 grudnia.
Jaime Blasco, badacz bezpieczeństwa, zauważa, że żadna konkretna firma nie była celem tego ataku.
Prowadząc
swoje dochodzenie, znalazł ten sam złośliwy kod w innych rozszerzeniach, takich jak VPN i narzędzia AI
. Po incydencie Cyberhaven opublikował szereg wskazówek dotyczących bezpieczeństwa dla organizacji, które mogą być nim dotknięte. Ważne środki ostrożności obejmują uważne sprawdzanie dzienników systemowych pod kątem nietypowej aktywności i natychmiastową zmianę haseł wszystkich poświadczeń, jeśli nie używają one zaawansowanego standardu bezpieczeństwa FIDO2 do uwierzytelniania wieloskładnikowego. Zaktualizowana, bezpieczna wersja rozszerzenia, oznaczona jako 24.10.5, została już udostępniona przez firmę.