Possível ataque direcionado usando RCE de 1 clique no Telegram Desktop. Contexto: Sou o alvo de ataques contínuos e uso um ambiente isolado (uma máquina virtual) para executar versões desktop do Telegram. Recentemente, encontrei um comportamento que indica um possível uso de um exploit de RCE de 1 clique. Cronologia dos eventos: 1. Interação inicial: • Um contato me enviou uma mensagem no Telegram. • Na barra lateral do Telegram (à direita), vi que o usuário tinha seu próprio canal. • Fui até aquele canal — tudo foi exibido normalmente, o Telegram se comportou como esperado. 2. Interação subsequente: • Algum tempo depois, o mesmo usuário me enviou uma mensagem novamente. • Notei que na barra lateral, em vez do nome do canal anterior, agora havia o rótulo “canal excluído.” • Isso chamou minha atenção o suficiente para que eu clicasse naquela linha (apenas para verificar se o canal realmente tinha sido excluído). • Nesse momento, o Telegram Desktop reiniciou repentinamente sem qualquer aviso ou mensagem de erro. 3. Reação: • Imediatamente depois, desliguei a máquina virtual sem esperar para ver o que aconteceria a seguir. • Felizmente, eu tinha backups das minhas sessões e conta, então não houve danos. 4. Confirmação: • Mais tarde, esse usuário admitiu diretamente para mim que se tratava de um ataque direcionado usando RCE de 1 clique. Eu conheço esse usuário e comunico-me com ele de vez em quando — ele é membro do Conti (Alvo). Eu monitoro seu canal. Toda vez, ele exclui a conversa comigo e depois é o primeiro a iniciar uma conversa novamente. Este não é o primeiro ataque direcionado contra mim (até agora, sem sucesso). Detalhes importantes: • Eu não cliquei em nenhum link externo ou abri anexos. • A única ação foi clicar em um canal do Telegram excluído mostrado na barra lateral. • Essa ação desencadeou um comportamento imprevisível do cliente — um reinício espontâneo do Telegram Desktop. Conclusão: É altamente provável que uma vulnerabilidade de 1 clique tenha sido explorada relacionada ao manuseio de conteúdo ou metadados associados a canais do Telegram (possivelmente na pré-visualização ou no manipulador de URL do canal). O ataque foi projetado para ser acionado por uma única ação do usuário — clicar em um elemento da interface do Telegram modificado ou falso.