Troyanos Favicon: Esteganografía Ejecutable Mediante la Explotación del Canal Alfa en Archivos Ico
Favicon Trojans: Executable Steganography Via Ico Alpha Channel Exploitation
July 11, 2025
Autores: David Noever, Forrest McKee
cs.AI
Resumen
Este artículo presenta un método novedoso de esteganografía ejecutable que utiliza la capa de transparencia alfa de archivos de imagen ICO para incrustar y entregar cargas útiles de JavaScript autodescomprimibles dentro de los navegadores web. Al enfocarse en el bit menos significativo (LSB) de los valores de la capa alfa no transparente de la imagen, el método propuesto logra ocultar código JavaScript comprimido dentro de una imagen de favicon sin afectar la fidelidad visual. El tráfico web global carga 294 mil millones de favicons diariamente y consume 0.9 petabytes de ancho de banda de red. Una implementación de prueba de concepto demuestra que una imagen ICO de 64x64 puede incrustar hasta 512 bytes sin comprimir, o 0.8 kilobytes al usar una compresión ligera de dos pasos. Al cargar una página, el navegador recupera el favicon como parte de su comportamiento estándar, permitiendo que un script de carga incrustado extraiga y ejecute la carga útil completamente en memoria utilizando las API nativas de JavaScript y el acceso a píxeles del lienzo. Esto crea un canal encubierto de dos etapas que no requiere solicitudes adicionales de red o del usuario. Las pruebas en múltiples navegadores, tanto en entornos de escritorio como móviles, confirman la ejecución exitosa y silenciosa del script incrustado. Evaluamos el modelo de amenaza, lo relacionamos con ataques de phishing polimórficos que evitan la detección basada en favicons, y analizamos la evasión de políticas de seguridad de contenido y escáneres antivirus. Mapeamos nueve objetivos del Marco MITRE ATT&CK a una sola línea de JavaScript para ejecutar arbitrariamente en archivos ICO. Se discuten las defensas existentes de estegoanálisis y saneamiento, destacando las limitaciones en la detección o neutralización de exploits en el canal alfa. Los resultados demuestran una superficie de ataque sigilosa y reutilizable que difumina los límites tradicionales entre imágenes estáticas y contenido ejecutable. Dado que los navegadores modernos reportan errores silenciosos cuando los desarrolladores no cargan específicamente archivos ICO, esta superficie de ataque ofrece un ejemplo interesante de comportamientos web necesarios que, a su vez, comprometen la seguridad.
English
This paper presents a novel method of executable steganography using the
alpha transparency layer of ICO image files to embed and deliver
self-decompressing JavaScript payloads within web browsers. By targeting the
least significant bit (LSB) of non-transparent alpha layer image values, the
proposed method successfully conceals compressed JavaScript code inside a
favicon image without affecting visual fidelity. Global web traffic loads 294
billion favicons daily and consume 0.9 petabytes of network bandwidth. A
proof-of-concept implementation demonstrates that a 64x64 ICO image can embed
up to 512 bytes uncompressed, or 0.8 kilobyte when using lightweight two-fold
compression. On page load, a browser fetches the favicon as part of standard
behavior, allowing an embedded loader script to extract and execute the payload
entirely in memory using native JavaScript APIs and canvas pixel access. This
creates a two-stage covert channel requiring no additional network or user
requests. Testing across multiple browsers in both desktop and mobile
environments confirms successful and silent execution of the embedded script.
We evaluate the threat model, relate it to polymorphic phishing attacks that
evade favicon-based detection, and analyze evasion of content security policies
and antivirus scanners. We map nine example MITRE ATT&CK Framework objectives
to single line JavaScript to execute arbitrarily in ICO files. Existing
steganalysis and sanitization defenses are discussed, highlighting limitations
in detecting or neutralizing alpha-channel exploits. The results demonstrate a
stealthy and reusable attack surface that blurs traditional boundaries between
static images and executable content. Because modern browsers report silent
errors when developers specifically fail to load ICO files, this attack surface
offers an interesting example of required web behaviors that in turn compromise
security.