Возможная целевая атака с использованием 1-клика RCE в Telegram Desktop. Контекст: Я являюсь целью продолжающихся атак и использую изолированную среду (виртуальную машину) для запуска настольных версий Telegram. Недавно я столкнулся с поведением, указывающим на возможное использование эксплойта 1-клика RCE. Хронология событий: 1. Первоначальное взаимодействие: • Контакт отправил мне сообщение в Telegram. • В боковой панели Telegram (справа) я увидел, что у пользователя есть собственный канал. • Я перешел на этот канал — все отображалось нормально, Telegram вел себя ожидаемо. 2. Последующее взаимодействие: • Некоторое время спустя тот же пользователь снова написал мне. • Я заметил, что в боковой панели вместо предыдущего названия канала теперь была надпись "канал удален". • Это привлекло мое внимание настолько, что я кликнул на эту строку (просто чтобы проверить, действительно ли канал был удален). • В этот момент Telegram Desktop внезапно перезапустился без каких-либо предупреждений или сообщений об ошибках. 3. Реакция: • Сразу после этого я выключил виртуальную машину, не дожидаясь, чтобы увидеть, что произойдет дальше. • К счастью, у меня были резервные копии моих сессий и аккаунта, поэтому ущерба не было. 4. Подтверждение: • Позже этот пользователь прямо признался мне, что это была целевая атака с использованием 1-клика RCE. Я знаю этого пользователя и время от времени общаюсь с ним — он является членом Conti (Цель). Я слежу за его каналом. Каждый раз он удаляет чат со мной, а затем первым инициирует разговор снова. Это не первая целевая атака на меня (пока что неудачная). Важные детали: • Я не нажимал на внешние ссылки и не открывал вложения. • Единственным действием было нажатие на удаленный канал Telegram, показанный в боковой панели. • Это действие вызвало непредсказуемое поведение клиента — спонтанную перезагрузку Telegram Desktop. Заключение: С высокой вероятностью была использована уязвимость 1-клика, связанная с обработкой контента или метаданных, связанных с каналами Telegram (возможно, в предварительном просмотре или обработчике URL канала). Атака была спроектирована так, чтобы срабатывать при одном действии пользователя — нажатии на измененный или поддельный элемент интерфейса Telegram.