L’obiettivo principale dell’attacco è stato quello di raccogliere informazioni private degli utenti, in particolare cookie del browser e sessioni di autenticazione. Gli esperti hanno notato che gli obiettivi principali erano i servizi di AI e le piattaforme pubblicitarie dei social media, con particolare attenzione agli account Facebook Ads.Ironia della sorte, Cyberhaven, un’azienda che offre soluzioni di sicurezza informatica, è stata una delle aziende colpite. Un’e-mail di phishing è stata utilizzata per compromettere la loro estensione di prevenzione della perdita di dati. Alle 20:32 del 24 dicembre è stata resa disponibile la versione dannosa della loro estensione (24.10.4). Anche se l’azienda ha risposto rapidamente, identificando il problema il giorno successivo alle 18:54, il codice dannoso ha continuato a funzionare fino alle 21:50 del 25 dicembre.
Jaime Blasco, un ricercatore di sicurezza, osserva che nessuna azienda in particolare era l’obiettivo di questo attacco. Nel corso delle sue indagini ha trovato lo stesso codice maligno in altre estensioni, come strumenti VPN e AI.
In seguito all’incidente, Cyberhaven ha pubblicato una serie di linee guida di sicurezza per le organizzazioni che potrebbero essere colpite dal problema. Tra le precauzioni più importanti vi sono il controllo accurato dei registri di sistema per verificare la presenza di attività insolite e la modifica immediata delle password di tutte le credenziali se non utilizzano il sofisticato standard di sicurezza FIDO2 per l’autenticazione a più fattori. L’azienda ha già reso disponibile una versione aggiornata e sicura dell’estensione, denominata 24.10.5.