Met sommige Mac-gebruikers die momenteel worden overspoeld met valse “Ask You” pop-ups die verschijnen in het Berichtencentrum, is hier een gegarandeerde manier om er vanaf te komen.
Wat is de “Ask You” Mac pop-up?
Het Berichtencentrum is sinds de release van OS X Mountain Lion in 2012 een onvervreemdbaar onderdeel van de Mac-gebruikerservaring. Met elke nieuwe versie van het besturingssysteem heeft deze functie verfijningen ondergaan, maar het overkoepelende idee blijft hetzelfde: de kloof overbruggen tussen de gebruiker en mogelijk belangrijke informatie gegenereerd door applicaties die op de machine draaien. Er valt niet te ontkennen dat dit onderdeel enorm nuttig is, maar met het voorbehoud dat het al jaren in de schijnwerpers staat van oplichters en malwareverspreiders. De dominante vector van uitbuiting in deze context komt neer op het misleiden van de gebruiker om een specifieke app toestemming te geven meldingen te tonen, en de gebruikelijke bron van dit misbruik is een webbrowser. Dat is precies waar de recente “Ask You” Mac pop-up activiteit over gaat. Met zo'n aanval aan de gang, wordt het slachtoffer geïrriteerd door non-stop berichten van een dienst genaamd “Ask You” die uit het Berichtencentrum worden gespuwd, zoals geïllustreerd in de volgende afbeelding.
De reden voor deze schurkenstatenmeldingen die het rechterdeel van het Mac-scherm overspoelen, is dat een rommelsite op de een of andere manier groen licht heeft gekregen om meldingen weer te geven. Hoewel de meeste getroffenen zich niet kunnen herinneren dat ze op die manier een fout hebben gemaakt, is dit gevolg geen kwestie van een zero-click-aanval of een vergelijkbare geavanceerde tactiek. Het begint allemaal met een potentieel slachtoffer dat een louche site bezoekt zoals mictiotom.com of guroshied.com die een valse menselijke verificatieaanvraag activeert die zogenaamd nodig is om een bepaald soort virale inhoud te bekijken, zoals breaking news of een video waar iedereen het over heeft.
Deze webpagina's kunnen ook alternatieve verhalen pushen, afhankelijk van de locatie van de bezoekers en andere parameters. Valse virusdetectierapporten, zogenaamd afkomstig van McAfee of andere betrouwbare beveiligingsoplossingen, met een "magische" herstelknop zijn ook vrij wijdverspreid. De waarheid is dat deze "Bevestig dat je geen robot bent" en malware-gerelateerde rommel pop-ups niets anders zijn dan een gordijn voor dubieuze toestemmingsdialoogvensters, waarbij het klikken op een ogenschijnlijk onschadelijk ding die site de bevoegdheden geeft om meldingen te genereren via het Berichtencentrum.
Deze strategie is browserneutraal, wat betekent dat het van toepassing is op Safari, Google Chrome en Mozilla Firefox in dezelfde mate. Het variabele aspect is de manier waarop de gebruiker op de kwaadaardige site terecht is gekomen. In de meeste gevallen begint het pad met een misleidende advertentie geplaatst op een populaire publicatie door middel van hacks in het contentbeheersysteem (CMS) of kwetsbaarheden in de externe componenten van de doelsites, zoals plugins of thema's. De advertentie zal de dubieuze bron openen zodra erop wordt geklikt. Een ander waarschijnlijk scenario heeft betrekking op de activiteit van een browseromleidingsvirus dat al in de Mac op de loer ligt en het verkeer naar willekeurige domeinen doorstuurt zoals geïnstrueerd door externe malwareoperators. Ongeacht het mechanisme hangt de uiteindelijke uitkomst af van de waakzaamheid van de gebruiker over het al dan niet omgaan met verdachte site-elementen.
Als het plan van de boeven lukt, zullen de “Ask You” pop-ups het computergebruik van het slachtoffer voortdurend onderbreken. Ze bevatten meestal een soort enge informatie om de gebruiker onder druk te zetten om onmiddellijk actie te ondernemen zonder er twee keer over na te denken. Enkele voorbeelden van de manipulatieve bewoordingen van deze berichten zijn als volgt:
- “Detected: Trojan_BO8DF831059 – Mac scan required”
- “macOS: The system is in danger! Threat detected. Click to delete”
- “Gmail alert: Account has been hacked. Your data may be stolen! Delete virus”
- “Kerberos utherntication: ***”
- “System Mac OS is infected! Choose an action to restore the system”
- “Your iCloud is being hacked! Click here to remove the virus”
- “Bank of America: Security alert. Someone is trying to steal $410 from your bank account”
- “The virus can be damaged. Antivirus update is recommended”
De boeven achter dit schema verwachten op deze manier mensen aan de haak te slaan, aangezien interactie met deze meldingen riskant is. In veel gevallen zal dit een frauduleuze webpagina openen die scareware promoot onder het mom van een legitieme malwarescanner. Sommige van deze landingspagina's bevatten tech support scams die de bezoeker instrueren om een “technicus” aan de telefoon te krijgen. Deze variant van het plan kan erop gericht zijn de gebruiker te overtuigen om een externe toegangssessie met de Mac toe te staan, wat op de lange termijn leidt tot privacyproblemen en gevaarlijke code-downloads. Bovendien is het “Tetris” van deze meldingen over het hele bureaublad op zich al een enorme overlast.
Een opvallend kenmerk van deze waarschuwingen is dat sommige ervan doorspekt zijn met typefouten en onzinnige bewoordingen, zoals in de zin “The virus can be damaged” bijvoorbeeld. Hoewel dit op het eerste gezicht lijkt op gewone nalatigheid en past bij de populaire bewering dat cybercriminelen hun werk niet nalezen, kan dit gebruik van slecht Engels ook opzettelijk zijn. De voornaamste doelwitten van de oplichters zijn mensen die niet de juiste aandacht voor detail hebben - dat is het publiek dat het meest vatbaar is voor online hoaxes. Daarom zou deze campagne ingewikkelder kunnen zijn dan het lijkt.
Het lichtpuntje is dat de oplossing triviaal kan zijn. De schermafbeelding hierboven toont de methode die meestal werkt als een charme. Als de scam pop-ups willekeurige sites in Safari openen wanneer erop wordt geklikt, wordt aanbevolen om de voorkeuren van de browser te openen, op het tabblad “Websites” te klikken en “Meldingen” in de zijbalk te selecteren. Als er een vermelding in het hoofdvenster staat met een label “Toestaan” ernaast, zorg er dan voor dat je in plaats daarvan “Weigeren” kiest. De workflow is vergelijkbaar met andere browsers. Een andere nuttige stap is om Systeemvoorkeuren te openen, naar “Meldingen” te gaan, de misdragende webbrowser te kiezen en toestemmingen in te trekken die verdacht lijken. Als niets van dit alles werkt, zullen de onderstaande alinea's je begeleiden door een effectieve malware-reinigingsprocedure die het probleem zou moeten aanpakken.
Handmatige verwijdering van het “Ask You” virus voor Mac
De onderstaande stappen zorgen dat je deze kwaadaardige applicatie kunt verwijderen. Zorg ervoor dat je de instructies in de aangegeven volgorde volgt.
- Kijk in het Ga-menu de zoekbalk van je Mac en selecteer Hulpprogramma's zoals hieronder weergegeven.
- Zoek het Activiteitenweergave-icoontje op het Hulpprogramma's scherm en dubbelklik erop.
- In de app Activiteitenweergave, zoek naar een proces dat verdacht lijkt. Om je zoekopdracht te verfijnen, focus op onbekende, bron-intensieve vermeldingen in de lijst. Houd er rekening mee dat de naam niet noodzakelijk gerelateerd is aan de manier waarop de dreiging zich manifesteert, dus je zult op je eigen oordeel moeten vertrouwen. Als je de boosdoener hebt geïdentificeerd, selecteer deze dan en klik op het Stop-icoontje in de linkerbovenhoek van het scherm.
- Wanneer er een vervolg dialoogvenster verschijnt met de vraag of je zeker weet dat je proces wilt stoppen, selecteert je de optie Forceer stop.
- Klik opnieuw op het Ga-menupictogram in de zoekbalk en selecteer Ga naar map. Je kunt ook de sneltoets Command-Shift-G gebruiken.
- Typ /Bibliotheek/LaunchAgents in het dialoogvenster voor het zoeken naar mappen en klik op de knop Ga.
- Zoek in de LaunchAgents-folder naar dubieus uitziende items. Houd er rekening mee dat de namen van bestanden die door malware worden voortgebracht geen duidelijke aanwijzingen kunnen geven dat ze kwaadaardig zijn, dus je moet zoeken naar recentelijk toegevoegde entiteiten die lijken af te wijken van de norm.
Ter illustratie volgen hier verschillende voorbeelden van LaunchAgents met betrekking tot mainstream Mac-infecties: com.pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, en com.msp.agent.plist. Als je bestanden ziet die niet op de lijst thuishoren dan kun je ze naar de Prullenbak slepen.
- Gebruik de Ga naar map op zoek functie opnieuw om te navigeren naar de map met de naam ~/Bibliotheek/Application Support (let op het tilde-symbool dat is voorgeprogrammeerd op het pad).
- Wanneer de Application Support map wordt geopend, identificeer dan de recentelijk gegenereerde verdachte mappen daarin en doe ze in de prullenbak. Een snelle tip is om te zoeken naar items waarvan de namen niets te maken hebben met Apple producten of apps die je bewust hebt geïnstalleerd. Een paar voorbeelden van bekende malafide mapnamen zijn com.AuraSearchDaemon, ProgressSite und IdeaShared.
- Voer ~/Bibliotheek/LaunchAgents tekenreeks in (vergeet niet het tilde karakter op te nemen) in het Ga naar map zoekgebied.
- Het systeem zal LaunchAgents weergeven die zich bevinden in de thuismap van de huidige gebruiker. Zoek naar de volgende verdachte items gerelateerd aan het “Ask You” pop-upvirus: com.ConnectionCache.service.plist, com.digitalprotection.emcupdater.plist, com.mulkey.plist, com.nbp.plist en com.sys.system.plist. Sleep deze bestanden naar de Prullenbak.
- Type /Bibliotheek/LaunchDaemons in het zoekveld Ga naar map.
- Probeer in het pad LaunchDaemons de bestanden te lokaliseren die de malware gebruikt voor persistentie. Enkele voorbeelden van dergelijke items die door Mac-infecties zijn bijgesneden, zijn com.ConnectionCache.system.plist en com.mulkeyd.plist. Verwijder deze dubieuze bestanden onmiddellijk.
- Klik op het Ga-menupictogram in de Finder van je Mac en selecteer Apps in de lijst.
- Zoek de ingang voor een app die daar duidelijk niet thuishoort en verplaats deze naar de Prullenmand. Als voor deze actie je admin-wachtwoord nodig is voor bevestiging dan kun je deze invoeren.
- Ga naar het Apple menu en selecteer Systeemvoorkeuren.
- Ga naar Gebruikers en groepen en klik op het tabblad Inloggen. Het systeem toont de lijst met items die gestart zijn bij het opstarten van de computer. Zoek daar de mogelijk ongewenste app en klik op de "-" knop.
- Selecteer nu Profielen onder Systeemvoorkeuren. Zoek naar een kwaadaardig item in de linker zijbalk. Enkele voorbeelden van configuratieprofielen die door Mac adware zijn gemaakt, zijn AdminPrefs, TechSignalSearch, MainSearchPlatform en Safari Preferences. Selecteer de overtredende entiteit en klik op het minteken onderaan om deze te verwijderen.
Als je Mac is geïnfiltreerd door adware, zal de infectie waarschijnlijk de standaardwebbrowser blijven domineren, zelfs nadat je het onderliggende programma en de onderdelen ervan in het systeem hebt verwijderd. Gebruik de onderstaande instructies voor het opschonen van de browser om de resterende gevolgen van deze aanval aan te pakken.
De "Ask You" verwijderen in webbrowser op Mac
Om te beginnen moeten de instellingen van de webbrowser die door het "Ask You" redirect virus zijn overgenomen, worden hersteld naar de standaardinstellingen. Dit zal de meeste van je eigen instellingen, surfgeschiedenis en alle tijdelijke gegevens die door websites zijn opgeslagen wissen, maar ook de schadelijke interferentie. Het overzicht van de stappen voor het voltooien van deze procedure is als volgt:
- Verwijder het "Ask You"-virus uit Safari
- Open de browser en ga naar het Safari-menu. Selecteer Voorkeuren in de vervolgkeuzelijst.
- Zodra het Voorkeuren-scherm verschijnt, klik je op het tabblad Geavanceerd en activeer je de optie "Toon Ontwikkel-menu in menubalk".
- Nu het item Ontwikkeling is toegevoegd aan het Safari-menu, schuif je het uit en klik je op Leeg caches.
- Selecteer nu Geschiedenis in het Safari-menu en klik op Wis geschiedenis in de keuzelijst.
- Safari zal een dialoogvenster weergeven waarin wordt gevraagd om de periode te specificeren waarop deze actie van toepassing zal zijn. Selecteer voor maximaal effect de hele geschiedenis. Klik op de knop Wis geschiedenis om te bevestigen en af te sluiten.
- Ga terug naar de Safari Voorkeuren en klik op de Privacy tabblad bovenaan. Zoek de optie Beheer websitegegevens en klik erop.
- De browser geeft een vervolgscherm weer met de websites die gegevens over uw internetactiviteiten hebben opgeslagen. Dit dialoogvenster bevat bovendien een korte beschrijving van wat de verwijdering doet: het is mogelijk dat je wordt uitgelogd van sommige diensten en dat je andere veranderingen in het gedrag van de website tegenkomt na de ingreep. Als je dat goed vindt, dan kun je op de knop Verwijder alles klikken.
- Herstart Safari.
- Verwijder "Ask You" van Google Chrome
- Open Chrome, klik op het pictogram Google Chrome aanpassen en beheren (⁝) in het rechterbovengedeelte van het venster en selecteer Instellingen in de vervolgkeuzelijst.
- Selecteer in het deelvenster Instellingen Geavanceerd.
- Scroll naar beneden naar het gedeelte Instellingen resetten.
- Bevestig de Chrom-reset in een dialoogvenster dat verschijnt. Wanneer de procedure is voltooid, start je de browser opnieuw op en controleert je deze op malwareactiviteit.
- Verwijder het "Ask You" van Mozilla Firefox
- Open Firefox en ga naar Help - Probleemopossingsinformatie (of typ about:support in de URL-balk en druk op Enter).
- Klik in het scherm Probleemopossingsinformatie op de knop Firefox opfrissen.
- Bevestig de voorgenomen wijzigingen en start Firefox opnieuw op.
Verwijder het “Ask You” pop-upvirus met het Combo Cleaner verwijderingstool
De Mac-onderhouds- en beveiligingsapp Combo Cleaner is een alles-in-een oplossing voor het opsporen en verwijderen van "Ask You"-virus. Deze techniek heeft aanzienlijke voordelen ten opzichte van handmatig opruimen, omdat het hulpprogramma elk uur een update van de virusdefinitie krijgt en zelfs de nieuwste Mac-infecties nauwkeurig kan opsporen.
Bovendien vindt de automatische oplossing de kernbestanden van de malware diep in de systeemstructuur, wat anders een uitdaging zou kunnen zijn om zelf te vinden. Hier is een stap-voor-stap handleiding om "Ask You" te verwijderen met behulp van Combo Cleaner:
- Download het Combo Cleaner installatieprogramma. Als je klaar bent, dubbelklik je op het bestand combocleaner.dmg en volg je de aanwijzingen om het programma op je Mac te installeren.
Door het downloaden van alle toepassingen die op deze website worden aanbevolen, ga je akkoord met onze Algemene Voorwaarden en het Privacybeleid. De gratis scanner controleert of je Mac is geïnfecteerd. Om van malware af te komen, moet je de Premium-versie van Combo Cleaner aanschaffen.
- Open de app vanaf je Launchpad en laat deze de update van de database met malware uitvoeren om te checken of deze de nieuwste bedreigingen kan detecteren.
- Klik op de knop Combo-Scannen starten om je Mac te controleren op schadelijke activiteiten en prestatieproblemen.
- Bekijk de scanresultaten. Als in het rapport staat "No Threats" (geen bedreigingen), dan ben je op de goede weg met het handmatig schoonmaken en kun je veilig verder gaan met het opruimen van de webbrowser die door de nawerkingen van de malware-aanval kan blijven werken (zie de instructies hierboven).
- Als Combo Cleaner kwaadaardige code heeft ontdekt, dan klik je op de knop Geselecteerde items verwijderen en laat je het hulpprogramma "Ask You"-bedreiging verwijderen, samen met eventuele andere virussen, PUP's (mogelijk ongewenste programma's) of ongewenste bestanden die niet op je Mac thuishoren.
- Als je ervoor hebt gezorgd dat het kwaadaardige programma is verwijderd, kan het probleem op browserniveau nog steeds op je takenlijst staan. Als het probleem zich voordoet in de voorkeursbrowser, kun je het vorige gedeelte van deze handleiding gebruiken om weer probleemloos op het web te kunnen surfen.