Een exploitkit die internetgebruikers via kwetsbaarheden in Adobe Flash Player probeert te infecteren blijkt computers met Linux te vermijden. Dat meldt beveiligingsbedrijf Trustwave. Op gehackte websites plaatsen cybercriminelen code die bezoekers ongemerkt naar een pagina met de Neutrino-exploitkit doorsturen. In het geval bezoekers een kwetsbare Adobe Flash Player geïnstalleerd hebben, wordt er stilletjes malware op het systeem geplaatst. Tegenwoordig gebruikt de Neutrino-exploitkit een module voor de iptables-firewall om te kijken welk besturingssysteem bezoekers gebruiken. In het geval van Linux worden deze computers vervolgens geblokkeerd, zodat de pagina met de exploitkit niet wordt geladen.

Volgens Daniel Checkik van Trustwave is het zinnig voor exploitkits om Linux-computers te filteren, aangezien deze machines vaak beveiligingsproducten, servers of andere machines zijn en geen potentiële slachtoffers. Door deze aanpak verkleint de exploitkit daarnaast dat het wordt gevonden door geautomatiseerde scans of beveiligingsonderzoekers. Het komt vaker voor dat exploitkits maatregelen treffen om beveiligingsonderzoekers en andere ongewenste bezoekers op afstand te houden, maar in de meeste gevallen worden deze maatregelen op http-niveau genomen, waarbij de webserver een foutmelding geeft of de bezoeker naar een andere pagina doorstuurt.

Het implementeren van het filter op tcp-niveau, zoals de Neutrino-exploitkit nu doet, is volgens Chechik een slimme keuze, omdat er vaak wordt aangenomen dat een server die niet reageert onbereikbaar is. Aangezien exploitkits vaak van locatie veranderen, kan dit gedrag aan een onbereikbare server worden toegeschreven, terwijl in werkelijkheid de server alleen bezoekers krijgt die het kan infecteren.