Possibile attacco mirato utilizzando RCE con un clic in Telegram Desktop. Contesto: Sono il bersaglio di attacchi in corso e utilizzo un ambiente isolato (una macchina virtuale) per eseguire le versioni desktop di Telegram. Recentemente, ho riscontrato un comportamento che indica un possibile utilizzo di un exploit RCE con un clic. Cronologia degli eventi: 1. Interazione iniziale: • Un contatto mi ha inviato un messaggio su Telegram. • Nella barra laterale di Telegram (a destra), ho visto che l'utente aveva il proprio canale. • Sono andato a quel canale — tutto si è visualizzato normalmente, Telegram si è comportato come previsto. 2. Interazione successiva: • Alcuni tempo dopo, lo stesso utente mi ha inviato un altro messaggio. • Ho notato che nella barra laterale, invece del nome del canale precedente, ora c'era l'etichetta “canale eliminato.” • Questo ha attirato la mia attenzione a tal punto che ho cliccato su quella riga (solo per controllare se il canale era davvero eliminato). • In quel momento, Telegram Desktop si è riavviato improvvisamente senza alcun avviso o messaggio di errore. 3. Reazione: • Immediatamente dopo, ho spento la macchina virtuale senza aspettare di vedere cosa sarebbe successo dopo. • Fortunatamente, avevo backup delle mie sessioni e del mio account, quindi non ci sono stati danni. 4. Conferma: • In seguito, questo utente mi ha direttamente ammesso che si trattava di un attacco mirato utilizzando RCE con un clic. Conosco questo utente e comunico con lui di tanto in tanto — è un membro di Conti (Target). Monitoro il suo canale. Ogni volta, elimina la chat con me e poi è il primo a iniziare una conversazione di nuovo. Questo non è il primo attacco mirato nei miei confronti (finora non riuscito). Dettagli importanti: • Non ho cliccato su alcun link esterno o aperto allegati. • L'unica azione è stata cliccare su un canale Telegram eliminato mostrato nella barra laterale. • Questa azione ha innescato un comportamento imprevedibile del client — un riavvio spontaneo di Telegram Desktop. Conclusione: È altamente probabile che sia stata sfruttata una vulnerabilità con un clic relativa alla gestione dei contenuti o dei metadati associati ai canali Telegram (possibilmente nell'anteprima o nel gestore degli URL del canale). L'attacco è stato progettato per attivarsi con un'unica azione dell'utente — cliccando su un elemento dell'interfaccia di Telegram modificato o falso.