Możliwy celowany atak wykorzystujący 1-click RCE w Telegram Desktop. Kontekst: Jestem celem trwających ataków i używam izolowanego środowiska (maszyna wirtualna) do uruchamiania wersji desktopowych Telegrama. Ostatnio napotkałem zachowanie wskazujące na możliwe wykorzystanie exploita 1-click RCE. Oś czasu wydarzeń: 1. Początkowa interakcja: • Kontakt wysłał mi wiadomość na Telegramie. • W pasku bocznym Telegrama (po prawej stronie) zobaczyłem, że użytkownik miał własny kanał. • Przeszedłem do tego kanału — wszystko wyświetlało się normalnie, Telegram zachowywał się zgodnie z oczekiwaniami. 2. Kolejna interakcja: • Po pewnym czasie ten sam użytkownik ponownie do mnie napisał. • Zauważyłem, że w pasku bocznym, zamiast poprzedniej nazwy kanału, pojawiła się etykieta „kanał usunięty”. • To na tyle przykuło moją uwagę, że kliknąłem w ten wiersz (tylko po to, aby sprawdzić, czy kanał naprawdę został usunięty). • W tym momencie Telegram Desktop nagle się zrestartował bez żadnego ostrzeżenia ani komunikatu o błędzie. 3. Reakcja: • Natychmiast po tym wyłączyłem maszynę wirtualną, nie czekając na to, co się wydarzy dalej. • Na szczęście miałem kopie zapasowe moich sesji i konta, więc nie było żadnych szkód. 4. Potwierdzenie: • Później ten użytkownik bezpośrednio przyznał mi, że był to celowany atak wykorzystujący 1-click RCE. Znam tego użytkownika i komunikuję się z nim od czasu do czasu — jest członkiem Conti (Cel). Monitoruję jego kanał. Za każdym razem usuwa czat ze mną, a następnie jako pierwszy inicjuje rozmowę ponownie. To nie jest pierwszy celowany atak na mnie (jak dotąd nieudany). Ważne szczegóły: • Nie kliknąłem żadnych zewnętrznych linków ani nie otworzyłem załączników. • Jedyną akcją było kliknięcie w usunięty kanał Telegrama wyświetlany w pasku bocznym. • Ta akcja wywołała nieprzewidywalne zachowanie klienta — spontaniczny restart Telegrama Desktop. Wnioski: Jest bardzo prawdopodobne, że wykorzystano lukę 1-click związaną z obsługą treści lub metadanych związanych z kanałami Telegrama (prawdopodobnie w podglądzie lub w obsłudze URL kanału). Atak został zaprojektowany tak, aby uruchomić się na pojedynczej akcji użytkownika — kliknięciu zmodyfikowanego lub fałszywego elementu interfejsu Telegrama.