Uzbrukuma galvenais mērķis bija privātas lietotāju informācijas ievākšana, jo īpaši pārlūkprogrammas sīkfaili un autentifikācijas sesijas. Eksperti atzīmēja, ka galvenie mērķi bija mākslīgā intelekta pakalpojumi un sociālo mediju reklāmas platformas, īpašu uzsvaru liekot uz Facebook Ads kontiem.
Ironiski, ka Cyberhaven, uzņēmums, kas piedāvā kiberdrošības risinājumus, bija viens no ietekmētajiem uzņēmumiem. Pikšķerēšanas e-pasta ziņojums tika izmantots, lai kompromitētu viņu datu zuduma novēršanas paplašinājumu. 24. decembrī pulksten 20:32 bija pieejama to paplašinājuma ļaunprātīgā versija (24.10.4.).
Lai gan uzņēmums reaģēja ātri, identificējot problēmu nākamajā dienā pulksten 18:54, ļaunprātīgais kods turpināja darboties līdz 25. decembra pulksten 21:50.
Drošības pētnieks Džeimijs Blasko norāda, ka neviens konkrēts uzņēmums nebija šī uzbrukuma mērķis. Veicot izmeklēšanu, viņš atrada to pašu ļaunprātīgo kodu citos paplašinājumos, piemēram, VPN un AI rīkos.
Pēc incidenta Cyberhaven izdeva vairākas drošības vadlīnijas organizācijām, kuras varētu tikt ietekmētas.
Svarīgi piesardzības pasākumi ietver sistēmas žurnālu rūpīgu pārbaudi, lai konstatētu neparastas darbības, un visu akreditācijas datu paroļu tūlītēju nomaiņu, ja tie neizmanto sarežģīto FIDO2 drošības standartu daudzfaktoru autentifikācijai.
Uzņēmums jau ir darījis pieejamu atjauninātu, drošu paplašinājuma versiju ar nosaukumu 24.10.5.