Het verzamelen van privé-gebruikersinformatie, met name browsercookies en authenticatiesessies, was het belangrijkste doel van de aanval. Experts merkten op dat de primaire doelwitten AI-services en advertentieplatforms voor sociale media waren, met een speciale nadruk op Facebook Ads-accounts.
Ironisch genoeg was Cyberhaven, een bedrijf dat cyberbeveiligingsoplossingen biedt, een van de getroffen bedrijven. Een phishing-e-mail werd gebruikt om hun extensie voor preventie van gegevensverlies in gevaar te brengen. Op 24 december om 20:32 uur werd de kwaadaardige versie van hun extensie (24.10.4) beschikbaar gesteld.
Hoewel het bedrijf snel reageerde en het probleem de volgende dag om 18:54 uur identificeerde, bleef de kwaadaardige code functioneren tot 21:50 uur op 25 december.
Jaime Blasco, een beveiligingsonderzoeker, merkt op dat geen enkel specifiek bedrijf het doelwit was van deze aanval. Tijdens zijn onderzoek vond hij dezelfde kwaadaardige code in andere extensies, zoals VPN- en AI-tools.
Naar aanleiding van het incident heeft Cyberhaven een aantal beveiligingsrichtlijnen vrijgegeven voor organisaties die mogelijk getroffen kunnen worden.
Belangrijke voorzorgsmaatregelen zijn onder meer het zorgvuldig controleren van systeemlogboeken op ongebruikelijke activiteiten en het onmiddellijk wijzigen van de wachtwoorden van alle inloggegevens als ze niet de geavanceerde FIDO2-beveiligingsstandaard voor multi-factor authenticatie gebruiken.
Een bijgewerkte, veilige versie van de extensie, aangeduid als 24.10.5, is al beschikbaar gesteld door het bedrijf.