La collecte d’informations privées sur les utilisateurs, en particulier les cookies du navigateur et les sessions d’authentification, était l’ objectif principal de l’attaque. Les experts ont noté que les principales cibles étaient les services d’intelligence artificielle et les plateformes de publicité sur les médias sociaux, en particulier les comptes Facebook Ads.Ironiquement, Cyberhaven, une société qui propose des solutions de cybersécurité, a été l’une des entreprises touchées. Un email de phishing a été utilisé pour compromettre leur extension de prévention des pertes de données. À 20 h 32 le 24 décembre, la version malveillante de leur extension (24.10.4) a été mise à disposition. Bien que l’entreprise ait réagi rapidement, en identifiant le problème le lendemain à 18 h 54, le code malveillant a continué à fonctionner jusqu’à 21 h 50 le 25 décembre.
Jaime Blasco, un chercheur en sécurité, note qu’aucune entreprise en particulier n’était la cible de cette attaque. Il a trouvé le même code malveillant dans d’autres extensions, telles que des outils VPN et d’intelligence artificielle, au cours de son enquête.
À la suite de l’incident, Cyberhaven a publié un certain nombre de consignes de sécurité à l’intention des organisations susceptibles d’être touchées. Parmi les précautions à prendre, citons la vérification minutieuse des journaux du système pour détecter toute activité inhabituelle et le changement immédiat des mots de passe de tous les identifiants s’ils n’utilisent pas la norme de sécurité sophistiquée FIDO2 pour l’authentification multifactorielle. Une version mise à jour et sécurisée de l’extension, désignée 24.10.5, a déjà été mise à disposition par l’entreprise.