El objetivo principal del ataque era recopilar información privada de los usuarios, en particular las cookies del navegador y las sesiones de autenticación. Los expertos señalaron que los principales objetivos eran los servicios de IA y las plataformas de publicidad en redes sociales, con especial énfasis en las cuentas de Facebook Ads.
Irónicamente, Cyberhaven, una empresa que ofrece soluciones de ciberseguridad, fue una de las empresas afectadas. Se utilizó un correo electrónico de phishing para comprometer su extensión de prevención de pérdida de datos. A las 20:32 del 24 de diciembre, se puso a disposición la versión maliciosa de su extensión (24.10.4).
A pesar de que la empresa respondió rápidamente, identificando el problema al día siguiente a las 18:54, el código malicioso continuó funcionando hasta las 21:50 del 25 de diciembre.
Jaime Blasco, investigador de seguridad, señala que ninguna empresa en particular fue el objetivo de este ataque. Encontró el mismo código malicioso en otras extensiones, como VPN y herramientas de IA, mientras realizaba su investigación.
Tras el incidente, Cyberhaven publicó una serie de directrices de seguridad para las organizaciones que podrían verse afectadas.
Las precauciones importantes incluyen verificar cuidadosamente los registros del sistema para detectar actividades inusuales y cambiar las contraseñas de todas las credenciales de inmediato si no utilizan el sofisticado estándar de seguridad FIDO2 para la autenticación multifactor.
La compañía ya ha puesto a disposición una versión actualizada y segura de la extensión, denominada 24.10.5.