Possível ataque direcionado usando RCE de 1 clique no Telegram Desktop. Contexto: Sou alvo de ataques contínuos e uso um ambiente isolado (uma máquina virtual) para executar versões desktop do Telegram. Recentemente, encontrei um comportamento que indica um possível uso de um exploit RCE de 1 clique. Linha do tempo dos eventos: 1. Interação inicial: • Um contato me enviou uma mensagem no Telegram. • Na barra lateral do Telegram (à direita), vi que o usuário tinha seu próprio canal. • Fui a esse canal — tudo exibido normalmente, o Telegram se comportou conforme o esperado. 2. Interação subsequente: • Algum tempo depois, o mesmo usuário me enviou uma mensagem novamente. • Percebi que na barra lateral, em vez do nome do canal anterior, agora havia o rótulo "canal excluído". • Isso me chamou a atenção o suficiente para que eu clicasse nessa linha (apenas para verificar se o canal foi realmente excluído). • Naquele momento, o Telegram Desktop foi reiniciado repentinamente sem nenhum aviso ou mensagem de erro. 3. Reação: • Imediatamente depois, desliguei a máquina virtual sem esperar para ver o que aconteceria a seguir. • Felizmente, eu tinha backups das minhas sessões e conta, então não houve danos. 4. Confirmação: • Mais tarde, este usuário admitiu diretamente para mim que este foi um ataque direcionado usando RCE de 1 clique. Eu conheço esse usuário e me comunico com ele de vez em quando - ele é membro do Conti (Target). Eu monitoro seu canal. Toda vez, ele exclui o bate-papo comigo e é o primeiro a iniciar uma conversa novamente. Este não é o primeiro ataque direcionado a mim (sem sucesso até agora). Detalhes importantes: • Não cliquei em nenhum link externo ou abri anexos. • A única ação foi clicar em um canal excluído do Telegram mostrado na barra lateral. • Essa ação desencadeou um comportamento imprevisível do cliente - uma reinicialização espontânea do Telegram Desktop. Conclusão: É altamente provável que uma vulnerabilidade de 1 clique tenha sido explorada relacionada ao manuseio de conteúdo ou metadados associados aos canais do Telegram (possivelmente na visualização ou no manipulador de URL do canal). O ataque foi projetado para ser acionado em uma única ação do usuário - clicar em um elemento de interface modificado ou falso do Telegram.