Possibile attacco mirato utilizzando RCE con 1 clic in Telegram Desktop. Contesto: Sono il bersaglio di attacchi continui e utilizzo un ambiente isolato (una macchina virtuale) per eseguire le versioni desktop di Telegram. Di recente, ho riscontrato un comportamento che indica un possibile utilizzo di un exploit RCE con 1 clic. Cronologia degli eventi: 1. Interazione iniziale: • Un contatto mi ha inviato un messaggio su Telegram. • Nella barra laterale di Telegram (a destra), ho visto che l'utente aveva un proprio canale. • Sono andato su quel canale: tutto è stato visualizzato normalmente, Telegram si è comportato come previsto. 2. Interazione successiva: • Qualche tempo dopo, lo stesso utente mi ha inviato un altro messaggio. • Ho notato che nella barra laterale, al posto del nome del canale precedente, ora c'era l'etichetta "canale eliminato". • Questo ha attirato la mia attenzione abbastanza che ho cliccato su quella riga (solo per verificare se il canale era stato davvero cancellato). • In quel momento, Telegram Desktop si è riavviato improvvisamente senza alcun avviso o messaggio di errore. 3. Reazione: • Subito dopo, spengo la macchina virtuale senza aspettare di vedere cosa sarebbe successo dopo. • Fortunatamente, avevo i backup delle mie sessioni e del mio account, quindi non ci sono stati danni. 4. Conferma: • Più tardi, questo utente ha ammesso direttamente con me che si trattava di un attacco mirato che utilizzava RCE con 1 clic. Conosco questo utente e comunico con lui di tanto in tanto: è un membro di Conti (Target). Monitoro il suo canale. Ogni volta, cancella la chat con me e poi è il primo a ricominciare una conversazione. Questo non è il primo attacco mirato contro di me (finora senza successo). Dettagli importanti: • Non ho cliccato su alcun link esterno né aperto allegati. • L'unica azione è stata fare clic su un canale Telegram eliminato mostrato nella barra laterale. • Questa azione ha innescato un comportamento imprevedibile del client: un riavvio spontaneo di Telegram Desktop. Conclusione: È molto probabile che sia stata sfruttata una vulnerabilità di 1 clic relativa alla gestione dei contenuti o dei metadati associati ai canali Telegram (possibilmente nell'anteprima o nel gestore dell'URL del canale). L'attacco è stato progettato per attivarsi su una singola azione dell'utente: fare clic su un elemento dell'interfaccia di Telegram modificato o falso.