Yksityisten käyttäjätietojen, erityisesti selaimen evästeiden ja todennusistuntojen, kerääminen oli hyökkäyksen päätavoite. Asiantuntijat totesivat, että ensisijaiset kohteet olivat tekoälypalvelut ja sosiaalisen median mainosalustat, painottaen erityisesti Facebook Ads -tilejä.
Ironista kyllä, kyberturvallisuusratkaisuja tarjoava Cyberhaven oli yksi kärsineistä yrityksistä. Tietojenkalastelusähköpostia käytettiin vaarantamaan heidän tietojen menetyksen estämisen laajennuksensa. 24. joulukuuta klo 20.32 niiden laajennuksen haitallinen versio (24.10.4) tuli saataville.
Vaikka yritys reagoi nopeasti ja tunnisti ongelman seuraavana päivänä klo 18.54, haitallinen koodi jatkoi toimintaansa 25. joulukuuta klo 21.50 asti.
Tietoturvatutkija Jaime Blasco huomauttaa, että mikään tietty yritys ei ollut hyökkäyksen kohteena. Hän löysi saman haitallisen koodin muista laajennuksista, kuten VPN- ja tekoälytyökaluista, suorittaessaan tutkimustaan.
Tapauksen jälkeen Cyberhaven julkaisi useita turvallisuusohjeita organisaatioille, joihin tämä saattaa vaikuttaa.
Tärkeitä varotoimia ovat järjestelmälokien huolellinen tarkistaminen epätavallisen toiminnan varalta ja kaikkien tunnistetietojen salasanojen vaihtaminen heti, jos he eivät käytä kehittynyttä FIDO2-suojausstandardia monimenetelmäiseen todennukseen.
Yhtiö on jo julkaissut päivitetyn, suojatun version laajennuksesta, nimeltään 24.10.5.