Prikupljanje privatnih korisničkih podataka, posebno kolačića preglednika i sesija provjere autentičnosti, bio je glavni cilj napada. Stručnjaci su primijetili da su primarne mete usluge umjetne inteligencije i platforme za oglašavanje na društvenim mrežama, s posebnim naglaskom na Facebook Ads račune.
Ironično, Cyberhaven, tvrtka koja nudi rješenja za kibernetičku sigurnost, bila je jedna od pogođenih tvrtki. Phishing e-pošta korištena je za ugrožavanje njihovog proširenja za sprječavanje gubitka podataka. U 20:32 24. prosinca dostupna je zlonamjerna verzija njihovog proširenja (24.10.4).
Iako je tvrtka brzo reagirala, identificirajući problem sljedeći dan u 18:54, zlonamjerni kod nastavio je funkcionirati do 21:50 25. prosinca.
Jaime Blasco, istraživač sigurnosti, napominje da nijedna određena tvrtka nije bila meta ovog napada. Isti zlonamjerni kod pronašao je u drugim proširenjima, kao što su VPN i AI alati, dok je provodio istragu.
Nakon incidenta, Cyberhaven je objavio niz sigurnosnih smjernica za organizacije koje bi mogle biti pogođene.
Važne mjere opreza uključuju pažljivu provjeru zapisnika sustava za neobične aktivnosti i trenutnu promjenu lozinki svih vjerodajnica ako ne koriste sofisticirani sigurnosni standard FIDO2 za višefaktorsku autentifikaciju.
Tvrtka je već stavila na raspolaganje ažuriranu, sigurnu verziju proširenja, označenu kao 24.10.5.