Mulig målrettet angrep ved bruk av 1-klikks RCE i Telegram Desktop. Sammenheng: Jeg er målet for pågående angrep og bruker et isolert miljø (en virtuell maskin) for å kjøre skrivebordsversjoner av Telegram. Nylig møtte jeg atferd som indikerer en mulig bruk av en 1-klikks RCE-utnyttelse. Tidslinje for hendelser: 1. Innledende interaksjon: • En kontakt sendte meg en melding på Telegram. • I Telegram-sidefeltet (til høyre) så jeg at brukeren hadde sin egen kanal. • Jeg gikk til den kanalen – alt ble vist normalt, Telegram oppførte seg som forventet. 2. Påfølgende interaksjon: • En stund senere sendte den samme brukeren meg en melding igjen. • Jeg la merke til at i sidefeltet, i stedet for det forrige kanalnavnet, var det nå etiketten "kanal slettet." • Dette fanget oppmerksomheten min nok til at jeg klikket på den linjen (bare for å sjekke om kanalen virkelig ble slettet). • I det øyeblikket startet Telegram Desktop plutselig på nytt uten noen advarsel eller feilmelding. 3. Reaksjon: • Umiddelbart etter slo jeg av den virtuelle maskinen uten å vente på å se hva som ville skje videre. • Heldigvis hadde jeg sikkerhetskopier av øktene og kontoen min, så det var ingen skade. 4. Bekreftelse: • Senere innrømmet denne brukeren direkte for meg at dette var et målrettet angrep ved bruk av 1-klikks RCE. Jeg kjenner denne brukeren og kommuniserer med ham fra tid til annen - han er medlem av Conti (Target). Jeg overvåker kanalen hans. Hver gang sletter han chatten med meg og er deretter den første til å starte en samtale igjen. Dette er ikke det første målrettede angrepet på meg (mislykket så langt). Viktige detaljer: • Jeg klikket ikke på noen eksterne lenker eller åpnet vedlegg. • Den eneste handlingen var å klikke på en slettet Telegram-kanal vist i sidefeltet. • Denne handlingen utløste uforutsigbar klientatferd – en spontan omstart av Telegram Desktop. Konklusjon: Det er høyst sannsynlig at en 1-klikks sårbarhet ble utnyttet relatert til innhold eller metadatahåndtering knyttet til Telegram-kanaler (muligens i forhåndsvisningen eller kanalens URL-behandler). Angrepet ble designet for å utløses ved en enkelt brukerhandling – å klikke på et modifisert eller falskt Telegram-grensesnittelement.