Möglicher gezielter Angriff mit 1-Klick-RCE in Telegram Desktop. Kontext: Ich bin das Ziel laufender Angriffe und nutze eine isolierte Umgebung (eine virtuelle Maschine), um Desktop-Versionen von Telegram auszuführen. Kürzlich stieß ich auf ein Verhalten, das auf eine mögliche Nutzung eines 1-Klick-RCE-Exploits hinweist. Zeitlinie der Ereignisse: 1. Erste Interaktion: • Ein Kontakt hat mir eine Nachricht auf Telegram gesendet. • In der Telegram-Seitenleiste (rechts) sah ich, dass der Benutzer seinen eigenen Kanal hatte. • Ich ging zu diesem Kanal – alles wurde normal angezeigt, Telegram verhielt sich wie erwartet. 2. Nachfolgende Interaktion: • Einige Zeit später schrieb mir derselbe Benutzer erneut. • Ich bemerkte, dass in der Seitenleiste anstelle des vorherigen Kanalnamens jetzt das Label „Kanal gelöscht“ angezeigt wurde. • Das erregte meine Aufmerksamkeit genug, dass ich auf diese Zeile klickte (nur um zu überprüfen, ob der Kanal wirklich gelöscht war). • In diesem Moment startete Telegram Desktop plötzlich ohne Vorwarnung oder Fehlermeldung neu. 3. Reaktion: • Unmittelbar danach schaltete ich die virtuelle Maschine aus, ohne abzuwarten, was als Nächstes passieren würde. • Glücklicherweise hatte ich Backups meiner Sitzungen und meines Kontos, sodass kein Schaden entstand. 4. Bestätigung: • Später gab mir dieser Benutzer direkt zu, dass dies ein gezielter Angriff mit 1-Klick-RCE war. Ich kenne diesen Benutzer und kommuniziere von Zeit zu Zeit mit ihm – er ist ein Mitglied von Conti (Ziel). Ich überwache seinen Kanal. Jedes Mal löscht er den Chat mit mir und ist dann der Erste, der wieder ein Gespräch initiiert. Dies ist nicht der erste gezielte Angriff auf mich (bisher erfolglos). Wichtige Details: • Ich habe keine externen Links angeklickt oder Anhänge geöffnet. • Die einzige Aktion war das Klicken auf einen gelöschten Telegram-Kanal, der in der Seitenleiste angezeigt wurde. • Diese Aktion löste ein unvorhersehbares Client-Verhalten aus – einen spontanen Neustart von Telegram Desktop. Fazit: Es ist sehr wahrscheinlich, dass eine 1-Klick-Sicherheitsanfälligkeit ausgenutzt wurde, die mit der Handhabung von Inhalten oder Metadaten in Verbindung mit Telegram-Kanälen zusammenhängt (möglicherweise in der Vorschau oder im Kanal-URL-Handler). Der Angriff war darauf ausgelegt, durch eine einzige Benutzeraktion – das Klicken auf ein modifiziertes oder gefälschtes Telegram-Oberflächenelement – ausgelöst zu werden.