Chevaux de Troie par favicon : stéganographie exécutable via l'exploitation du canal alpha des fichiers ICO
Favicon Trojans: Executable Steganography Via Ico Alpha Channel Exploitation
July 11, 2025
papers.authors: David Noever, Forrest McKee
cs.AI
papers.abstract
Cet article présente une nouvelle méthode de stéganographie exécutable utilisant la couche de transparence alpha des fichiers image ICO pour intégrer et diffuser des charges utiles JavaScript auto-décompressantes dans les navigateurs web. En ciblant le bit de poids faible (LSB) des valeurs de la couche alpha non transparente, la méthode proposée parvient à dissimuler du code JavaScript compressé dans une image favicon sans affecter la fidélité visuelle. Le trafic web mondial charge quotidiennement 294 milliards de favicons et consomme 0,9 pétaoctets de bande passante réseau. Une implémentation de preuve de concept démontre qu'une image ICO de 64x64 peut intégrer jusqu'à 512 octets non compressés, ou 0,8 kilo-octet en utilisant une compression légère en deux étapes. Lors du chargement d'une page, un navigateur récupère la favicon dans le cadre de son comportement standard, permettant à un script de chargement intégré d'extraire et d'exécuter la charge utile entièrement en mémoire à l'aide des API JavaScript natives et de l'accès aux pixels du canvas. Cela crée un canal de communication furtif en deux étapes ne nécessitant aucune requête réseau ou utilisateur supplémentaire. Des tests sur plusieurs navigateurs dans des environnements de bureau et mobiles confirment l'exécution réussie et silencieuse du script intégré. Nous évaluons le modèle de menace, le mettons en relation avec les attaques de phishing polymorphes qui contournent la détection basée sur les favicons, et analysons le contournement des politiques de sécurité de contenu et des scanners antivirus. Nous cartographions neuf objectifs du cadre MITRE ATT&CK à une seule ligne de JavaScript pour exécuter arbitrairement dans les fichiers ICO. Les défenses existantes en stéganalyse et assainissement sont discutées, mettant en lumière les limites dans la détection ou la neutralisation des exploits de la couche alpha. Les résultats démontrent une surface d'attaque furtive et réutilisable qui brouille les frontières traditionnelles entre les images statiques et le contenu exécutable. Étant donné que les navigateurs modernes signalent des erreurs silencieuses lorsque les développeurs ne parviennent pas spécifiquement à charger des fichiers ICO, cette surface d'attaque offre un exemple intéressant de comportements web requis qui compromettent en retour la sécurité.
English
This paper presents a novel method of executable steganography using the
alpha transparency layer of ICO image files to embed and deliver
self-decompressing JavaScript payloads within web browsers. By targeting the
least significant bit (LSB) of non-transparent alpha layer image values, the
proposed method successfully conceals compressed JavaScript code inside a
favicon image without affecting visual fidelity. Global web traffic loads 294
billion favicons daily and consume 0.9 petabytes of network bandwidth. A
proof-of-concept implementation demonstrates that a 64x64 ICO image can embed
up to 512 bytes uncompressed, or 0.8 kilobyte when using lightweight two-fold
compression. On page load, a browser fetches the favicon as part of standard
behavior, allowing an embedded loader script to extract and execute the payload
entirely in memory using native JavaScript APIs and canvas pixel access. This
creates a two-stage covert channel requiring no additional network or user
requests. Testing across multiple browsers in both desktop and mobile
environments confirms successful and silent execution of the embedded script.
We evaluate the threat model, relate it to polymorphic phishing attacks that
evade favicon-based detection, and analyze evasion of content security policies
and antivirus scanners. We map nine example MITRE ATT&CK Framework objectives
to single line JavaScript to execute arbitrarily in ICO files. Existing
steganalysis and sanitization defenses are discussed, highlighting limitations
in detecting or neutralizing alpha-channel exploits. The results demonstrate a
stealthy and reusable attack surface that blurs traditional boundaries between
static images and executable content. Because modern browsers report silent
errors when developers specifically fail to load ICO files, this attack surface
offers an interesting example of required web behaviors that in turn compromise
security.