Cavalos de Tróia de Favicon: Esteganografia Executável por Meio da Exploração do Canal Alfa em Arquivos Ico
Favicon Trojans: Executable Steganography Via Ico Alpha Channel Exploitation
July 11, 2025
Autores: David Noever, Forrest McKee
cs.AI
Resumo
Este artigo apresenta um novo método de esteganografia executável utilizando a camada de transparência alfa de arquivos de imagem ICO para incorporar e entregar payloads de JavaScript auto-descomprimidos dentro de navegadores web. Ao direcionar o bit menos significativo (LSB) dos valores da camada alfa não transparente das imagens, o método proposto consegue ocultar código JavaScript comprimido dentro de uma imagem de favicon sem afetar a fidelidade visual. O tráfego web global carrega 294 bilhões de favicons diariamente e consome 0,9 petabytes de largura de banda de rede. Uma implementação de prova de conceito demonstra que uma imagem ICO de 64x64 pode incorporar até 512 bytes descomprimidos, ou 0,8 kilobyte ao usar uma compressão leve de duas etapas. No carregamento da página, o navegador busca o favicon como parte do comportamento padrão, permitindo que um script de carregamento incorporado extraia e execute o payload inteiramente na memória usando APIs nativas de JavaScript e acesso a pixels de canvas. Isso cria um canal encoberto de dois estágios que não requer solicitações adicionais de rede ou do usuário. Testes em vários navegadores, tanto em ambientes desktop quanto móveis, confirmam a execução bem-sucedida e silenciosa do script incorporado. Avaliamos o modelo de ameaça, relacionando-o a ataques de phishing polimórficos que evitam a detecção baseada em favicons, e analisamos a evasão de políticas de segurança de conteúdo e scanners antivírus. Mapeamos nove objetivos de exemplo do MITRE ATT&CK Framework para uma única linha de JavaScript que pode ser executada arbitrariamente em arquivos ICO. As defesas existentes de esteganálise e sanitização são discutidas, destacando limitações na detecção ou neutralização de explorações da camada alfa. Os resultados demonstram uma superfície de ataque furtiva e reutilizável que desfaz as fronteiras tradicionais entre imagens estáticas e conteúdo executável. Como os navegadores modernos reportam erros silenciosos quando os desenvolvedores falham especificamente em carregar arquivos ICO, essa superfície de ataque oferece um exemplo interessante de comportamentos web necessários que, por sua vez, comprometem a segurança.
English
This paper presents a novel method of executable steganography using the
alpha transparency layer of ICO image files to embed and deliver
self-decompressing JavaScript payloads within web browsers. By targeting the
least significant bit (LSB) of non-transparent alpha layer image values, the
proposed method successfully conceals compressed JavaScript code inside a
favicon image without affecting visual fidelity. Global web traffic loads 294
billion favicons daily and consume 0.9 petabytes of network bandwidth. A
proof-of-concept implementation demonstrates that a 64x64 ICO image can embed
up to 512 bytes uncompressed, or 0.8 kilobyte when using lightweight two-fold
compression. On page load, a browser fetches the favicon as part of standard
behavior, allowing an embedded loader script to extract and execute the payload
entirely in memory using native JavaScript APIs and canvas pixel access. This
creates a two-stage covert channel requiring no additional network or user
requests. Testing across multiple browsers in both desktop and mobile
environments confirms successful and silent execution of the embedded script.
We evaluate the threat model, relate it to polymorphic phishing attacks that
evade favicon-based detection, and analyze evasion of content security policies
and antivirus scanners. We map nine example MITRE ATT&CK Framework objectives
to single line JavaScript to execute arbitrarily in ICO files. Existing
steganalysis and sanitization defenses are discussed, highlighting limitations
in detecting or neutralizing alpha-channel exploits. The results demonstrate a
stealthy and reusable attack surface that blurs traditional boundaries between
static images and executable content. Because modern browsers report silent
errors when developers specifically fail to load ICO files, this attack surface
offers an interesting example of required web behaviors that in turn compromise
security.