Η συλλογή ιδιωτικών πληροφοριών χρήστη, ιδιαίτερα των cookies του προγράμματος περιήγησης και των συνεδριών ελέγχου ταυτότητας, ήταν ο κύριος στόχος της επίθεσης. Οι ειδικοί σημείωσαν ότι οι πρωταρχικοί στόχοι ήταν οι υπηρεσίες τεχνητής νοημοσύνης και οι πλατφόρμες διαφήμισης στα μέσα κοινωνικής δικτύωσης, με ιδιαίτερη έμφαση στους λογαριασμούς διαφημίσεων Facebook.
Κατά ειρωνικό τρόπο, η Cyberhaven, μια εταιρεία που προσφέρει λύσεις ασφάλειας στον κυβερνοχώρο, ήταν μία από τις επιχειρήσεις που επηρεάστηκαν. Ένα μήνυμα ηλεκτρονικού “ψαρέματος” χρησιμοποιήθηκε για να θέσει σε κίνδυνο την επέκταση αποτροπής απώλειας δεδομένων. Στις 20:32 στις 24 Δεκεμβρίου, έγινε διαθέσιμη η κακόβουλη έκδοση της επέκτασής τους (24.10.4).
Παρόλο που η εταιρεία ανταποκρίθηκε γρήγορα, εντοπίζοντας το πρόβλημα την επόμενη μέρα στις 18:54, ο κακόβουλος κώδικας συνέχισε να λειτουργεί μέχρι τις 21:50 στις 25 Δεκεμβρίου.
Ο Jaime Blasco, ερευνητής ασφαλείας, σημειώνει ότι καμία συγκεκριμένη εταιρεία δεν ήταν ο στόχος αυτής της επίθεσης. Βρήκε τον ίδιο κακόβουλο κώδικα σε άλλες επεκτάσεις, όπως εργαλεία VPN και AI, ενώ διεξήγαγε την έρευνά του.
Μετά το περιστατικό, η Cyberhaven κυκλοφόρησε μια σειρά οδηγιών ασφαλείας για οργανισμούς που ενδέχεται να επηρεαστούν.
Σημαντικές προφυλάξεις περιλαμβάνουν τον προσεκτικό έλεγχο των αρχείων καταγραφής συστήματος για ασυνήθιστη δραστηριότητα και την άμεση αλλαγή των κωδικών πρόσβασης όλων των διαπιστευτηρίων, εάν δεν χρησιμοποιούν το εξελιγμένο πρότυπο ασφαλείας FIDO2 για έλεγχο ταυτότητας πολλαπλών παραγόντων.
Μια ενημερωμένη, ασφαλής έκδοση της επέκτασης, με την ονομασία 24.10.5, έχει ήδη διατεθεί από την εταιρεία.