Adobe Creative Cloud parece haber estado reescribiendo los archivos de hosts de los usuarios por su cuenta.
El cambio añade tres líneas que dirigen detect-ccd.creativecloud.adobe.com a la IP 166.117.29.222. Se envuelven cuidadosamente entre marcadores de comentario “Adobe Creative Cloud WAM”. Según lo que pude deducir, el objetivo es permitir que Adobe sepa si la aplicación de escritorio está instalada en tu máquina.
Cuando accedes a adobe.com/home, su JavaScript intenta silenciosamente cargar una pequeña imagen desde ese dominio exacto. Si la entrada de hosts está presente, es un éxito. Sin entrada, falla. Una verificación simple.
Los usuarios notaron por primera vez las ediciones a mediados de marzo. El autor de una publicación en Reddit tenía una suscripción completamente pagada y nunca usó software crackeado. Aún así, se despertó con las nuevas líneas en su archivo. Algunos otros también comentaron justo después. Usuarios de Photography Plan desde hace mucho tiempo. Gente de agencias. El mismo bloque exacto apareció en sus máquinas también.
Realmente despegó ayer en X. Un usuario japonés abrió su archivo de hosts, vio que Adobe había añadido cosas sin preguntar y lo calificó de malvado. Otra cuenta advirtió que este es el mismo movimiento que realiza el malware. Requiere privilegios de administrador, ocurre sin advertencia ni permiso, y en algunos casos simplemente sobrescribe cualquier entrada personalizada que ya estuviera allí.
Mientras tanto, los entornos corporativos están enfrentando dolores de cabeza adicionales. El software de seguridad está marcando la edición no autorizada, y al menos una persona informó que el cambio también activó el servidor web IIS escuchando en el puerto 80. Eso no es ideal en una laptop de trabajo restringida.
El código de detección en sí es bastante básico, como explicó un comentarista en Reddit. El JavaScript de Adobe hace ping a la imagen con un cache-buster y un encabezado especial. El éxito significa que Creative Cloud está presente. No hay gran recogida de datos ni nada más allá de esa verificación. Sin embargo, la edición silenciosa de un archivo del sistema central está molestando a muchos clientes que pagan.
Uno de los usuarios en X añadió más perspectiva, señalando que si nunca has modificado tu archivo de hosts antes, no hay peligro inmediato. El problema es el principio. Simplemente no se siente bien.
Adobe no ha comentado públicamente. Sus propios documentos de soporte todavía indican a los usuarios que eliminen cualquier línea relacionada con Adobe del archivo de hosts cuando solucionen problemas de licencia. Ahora la empresa es quien las está añadiendo.
Si estás utilizando Creative Cloud, toma aproximadamente treinta segundos para verificar. Abre tu archivo de hosts y escanea en busca de esos marcadores WAM.