Özel kullanıcı bilgilerini, özellikle tarayıcı çerezlerini ve kimlik doğrulama oturumlarını toplamak, saldırının ana hedefiydi. Uzmanlar, öncelikli hedeflerin yapay zeka hizmetleri ve sosyal medya reklam platformları olduğunu ve Facebook Ads hesaplarına özel bir vurgu yaptığını belirtti.
İronik olarak, siber güvenlik çözümleri sunan bir şirket olan Cyberhaven, etkilenen işletmelerden biriydi. Veri kaybı önleme uzantısını tehlikeye atmak için bir kimlik avı e-postası kullanıldı. 24 Aralık saat 20:32’de, uzantılarının kötü amaçlı sürümü (24.10.4) kullanıma sunuldu.
Şirket hızlı bir şekilde yanıt vererek ertesi gün saat 18:54’te sorunu tespit etse de, kötü amaçlı kod 25 Aralık saat 21:50’ye kadar çalışmaya devam etti.
Bir güvenlik araştırmacısı olan Jaime Blasco, bu saldırının hedefinin belirli bir şirket olmadığını belirtiyor. Araştırmasını yürütürken aynı kötü amaçlı kodu VPN ve AI araçları gibi diğer uzantılarda da buldu.
Olayın ardından Cyberhaven, etkilenebilecek kuruluşlar için bir dizi güvenlik yönergesi yayınladı.
Önemli önlemler arasında, olağandışı etkinlikler için sistem günlüklerinin dikkatlice kontrol edilmesi ve çok faktörlü kimlik doğrulaması için gelişmiş FIDO2 güvenlik standardını kullanmıyorlarsa tüm kimlik bilgilerinin parolalarının hemen değiştirilmesi yer alır.
Uzantının 24.10.5 olarak adlandırılan güncellenmiş, güvenli bir sürümü şirket tarafından zaten kullanıma sunuldu.