ステガノを含む画像ファイルは、どこかに保存されたときにマルウェアになる可能性がありますか？

ファイルは本質的に危険ではありません。このような攻撃ファイルは、実行する必要のあるプログラムであるか、別のプログラムにデータとしてロードされたときにそのプログラムの問題を利用します。

あなたの記事から：

隠されたペイロードを実行するために、悪意のある広告は、Webサイトのトラフィックを測定するためのオープンソースパッケージであるCountlyの大幅に変更されたバージョンをロードします。そのJavaScriptは、画像から非表示のコードを抽出して実行します。

つまり、画像には小さなJavaScriptプログラムが含まれています。このプログラムは、広告ネットワークがWebページに配置するコードによって抽出および実行され、そのWebページを表示するとブラウザで実行されます。

画像がハードドライブに置かれているだけの場合、何も起こりません。画像エディタで開いても何も起こりません。 実行するする必要があります。

現在、マルウェアの多くは画像表示ソフトウェアやオーディオプレーヤーなどの脆弱性を利用するため、疑わしいファイルを開くことは一般的に安全ではありません。 Webブラウザがエクスプロイトを実行する唯一の方法であることを意味するわけではありません。同様に、マルウェアは、OSが自動的に実行するように、マシンの「起動時に実行」リストに自分自身を追加しようとすることがよくあります。しかし、この特定のケースでは、エクスプロイトはブラウザを介して実行されているようです。

とにかく、それが実行されるとき、エクスプロイトはそれが望むことを（多かれ少なかれ）行うことができるので、はい、それは有効なネットワーク接続の存在をチェックすることができます。これは、脆弱性チェック環境で実行されているかどうかを判断するために一連のチェックを実行すると言われています。これらは、外部サーバーにアクセスできるかどうかをチェックするよりもはるかに高度です。しかし、繰り返しになりますが、これはrunningの場合にのみ発生する可能性があります。

両方とも有効な画像ファイルである「ポリグロット」ファイルを持つことは可能ですが、 悪意のあるコードも埋め込まれています 。また、メタデータまたはファイル自体の「データ」部分に埋め込まれた特定の属性を持つファイルを読み取ることによってトリガーされる特定のアプリケーションに欠陥がある可能性があります。

最終的には、ファイルを何らかの方法で実行または表示する必要があります。ファイルシステム上にあるだけの画像ファイルは単独では実行されませんが、ウイルス対策、検索インデックスアプリケーション、またはファイルを表示または実行しようとするその他のプロセスによってファイルがスキャンされるときに、エクスプロイトコードが実行される可能性があります。

ブラウザがファイルをダウンロードしているのではなく、悪意のある画像ファイルがブラウザによって実行されているのです。