Die Art des Schadens, der durch eingeschleuste Malware entsteht, hängt immer von den Motiven des Angreifers ab. In einigen wenigen Fällen richtet sich der Angriff direkt gegen den Betreiber und die ganze Website wird lahmgelegt oder falsche Inhalte werden implementiert. Dabei gehen Kriminelle mitunter so weit, dass sie Lösegeld von den Betreibern verlangen, und damit drohen, die Cyberattacken erst nach Zahlung einzustellen. Eine infizierte Website bedeutet zudem meist auch Traffic- bzw. Umsatzeinbußen für den Betreiber.
Zusätzlich wird auch das Vertrauen der Besucher bzw. Kunden auf die Probe gestellt. Denn viele Malware-Websites schaden neben dem Betreiber vor allem den Besuchern bzw. Kunden. In vielen Fällen ist die betroffene Website nur der Wirt für die schädlichen Skripte – über gefälschte URLs gelangt der integrierte Schadcode dann auf die PCs der Seitenbesucher, wo er sich automatisch installiert, sofern die Sicherheits-Software des Users dies nicht verhindert. Neben Viren, die dem Computersystem schaden, verschicken Kriminelle auf diese Weise vor allem Spyware und Keylogger, mit deren Hilfe Informationen über den Nutzer gesammelt werden. Dadurch droht den Website-Besuchern im schlimmsten Fall der Diebstahl vertraulicher Informationen wie Bank- oder Adressdaten und Passwörter.
Dem Betreiber der Website hingegen drohen neben Image- und Kunden- bzw. Besucherverlust sogar rechtliche Konsequenzen, falls die notwendigen Sicherheitsvorkehrungen nicht eingehalten worden sind. Zusätzlich muss er auch mit einer Abstrafung durch Suchmaschinen rechnen – selbst bei einem eher harmlosen Szenario, in dem durch die Malware-Attacke nur Spam versendet wurde.