Favicon Trojan: Steganografia Eseguibile Tramite Sfruttamento del Canale Alfa Ico
Favicon Trojans: Executable Steganography Via Ico Alpha Channel Exploitation
July 11, 2025
Autori: David Noever, Forrest McKee
cs.AI
Abstract
Questo articolo presenta un metodo innovativo di steganografia eseguibile che utilizza il livello di trasparenza alfa dei file immagine ICO per incorporare e distribuire payload JavaScript auto-decomprimenti all'interno dei browser web. Mirando al bit meno significativo (LSB) dei valori dell'immagine nel livello alfa non trasparente, il metodo proposto riesce a nascondere codice JavaScript compresso all'interno di un'immagine favicon senza comprometterne la fedeltà visiva. Il traffico web globale carica 294 miliardi di favicon al giorno, consumando 0,9 petabyte di larghezza di banda di rete. Un'implementazione proof-of-concept dimostra che un'immagine ICO 64x64 può incorporare fino a 512 byte non compressi, o 0,8 kilobyte utilizzando una compressione leggera a due passaggi. Al caricamento della pagina, il browser recupera la favicon come parte del comportamento standard, consentendo a uno script di caricamento incorporato di estrarre ed eseguire il payload interamente in memoria utilizzando le API JavaScript native e l'accesso ai pixel della canvas. Ciò crea un canale covert in due fasi che non richiede ulteriori richieste di rete o interazioni dell'utente. Test condotti su più browser in ambienti desktop e mobili confermano l'esecuzione silenziosa e riuscita dello script incorporato. Valutiamo il modello di minaccia, lo colleghiamo ad attacchi di phishing polimorfici che eludono il rilevamento basato sulle favicon e analizziamo l'evasione delle politiche di sicurezza dei contenuti e degli scanner antivirus. Mappiamo nove obiettivi di esempio del MITRE ATT&CK Framework in una singola riga di JavaScript eseguibile arbitrariamente nei file ICO. Discutiamo le difese esistenti di steganalisi e sanificazione, evidenziando i limiti nel rilevare o neutralizzare gli exploit del canale alfa. I risultati dimostrano una superficie di attacco furtiva e riutilizzabile che sfuma i tradizionali confini tra immagini statiche e contenuti eseguibili. Poiché i browser moderni segnalano errori silenziosi quando gli sviluppatori non riescono specificamente a caricare i file ICO, questa superficie di attacco offre un esempio interessante di comportamenti web necessari che, a loro volta, compromettono la sicurezza.
English
This paper presents a novel method of executable steganography using the
alpha transparency layer of ICO image files to embed and deliver
self-decompressing JavaScript payloads within web browsers. By targeting the
least significant bit (LSB) of non-transparent alpha layer image values, the
proposed method successfully conceals compressed JavaScript code inside a
favicon image without affecting visual fidelity. Global web traffic loads 294
billion favicons daily and consume 0.9 petabytes of network bandwidth. A
proof-of-concept implementation demonstrates that a 64x64 ICO image can embed
up to 512 bytes uncompressed, or 0.8 kilobyte when using lightweight two-fold
compression. On page load, a browser fetches the favicon as part of standard
behavior, allowing an embedded loader script to extract and execute the payload
entirely in memory using native JavaScript APIs and canvas pixel access. This
creates a two-stage covert channel requiring no additional network or user
requests. Testing across multiple browsers in both desktop and mobile
environments confirms successful and silent execution of the embedded script.
We evaluate the threat model, relate it to polymorphic phishing attacks that
evade favicon-based detection, and analyze evasion of content security policies
and antivirus scanners. We map nine example MITRE ATT&CK Framework objectives
to single line JavaScript to execute arbitrarily in ICO files. Existing
steganalysis and sanitization defenses are discussed, highlighting limitations
in detecting or neutralizing alpha-channel exploits. The results demonstrate a
stealthy and reusable attack surface that blurs traditional boundaries between
static images and executable content. Because modern browsers report silent
errors when developers specifically fail to load ICO files, this attack surface
offers an interesting example of required web behaviors that in turn compromise
security.