Güvenlik araştırmaları, güvenlik duvarında Uzak masaüstü bağlantı noktalarını açan kötü amaçlı yazılım buldu. RDP (Uzak masaüstü) bağlantı noktaları kurulur, bu, saldırganların daha sonra RDP bağlantı noktalarını kötüye kullanmasını kolaylaştırır.
Sarwent kötü amaçlı yazılımı 2018'den beri kullanılıyor. 2020'nin başında Vitali Kwemez, Sarwent kötü amaçlı yazılımı hakkında bir tweet gönderdi ancak internette Sarwent kötü amaçlı yazılımı hakkında çok az bilgi var.
Sarwent kötü amaçlı yazılımının yayılma şekli tam olarak bilinmemektedir; Sarwent'in diğer kötü amaçlı yazılımlar yoluyla, muhtemelen botnet'lerde yayıldığından şüpheleniliyor.
Sarwent hakkında bilinen şey, virüs bulaştıktan sonra kötü amaçlı yazılımın yeni bir Windows bilgisayardaki kullanıcı hesabını açar ve bilgisayarda ve Güvenlik Duvarında 3389 numaralı RDP bağlantı noktasını açar. RDP, büyük olasılıkla, oluşturulan bilgisayar aracılığıyla virüslü bilgisayara daha sonra erişmek için açılacaktır. Windows Kullanıcı hesabı.
Sarwent IP adresleri, MD5 karmaları ve etki alanları Sarwent'ten bilinir, bu ayrıntılar şirketlerin Sarwent'i algılaması için IOC'lere (uzlaşma göstergeleri) dağıtılır.