Esta es una pregunta amplia, así que la responderé de manera amplia. Un atacante con privilegios de administrador en el equipo de las víctimas podría permitirles instalar un nuevo certificado SSL raíz que esté firmado y en poder del atacante. Ahora, la computadora víctima confiará en este certificado como si fuera distribuido por una autoridad confiable real (es decir, LetsEncrypt).
Al hacer esto, el atacante puede lanzar un ataque MitM simulando ser el servidor al que el usuario accede a través de HTTPS. En otras palabras, el usuario envía una solicitud para enlace . El atacante analiza esa solicitud, la bloquea, se pone en contacto con Google en la computadora MitM y crea una conexión HTTPS entre Google y el cálculo de ataque. Luego crea una conexión HTTPS entre el ataque y la computadora víctima con el certificado firmado por el atacante (y ahora enraizado), lo que permite que la computadora del ataque aparezca como un servidor seguro en la computadora víctima. La computadora de ataque luego envía la página web a la víctima.
Al hacerlo, el atacante ahora puede ver y manipular todos los datos que el usuario envía y recibe a pesar de que se trata de HTTPS. Sin los privilegios de administrador y la capacidad de instalar ese certificado, el atacante aún puede hacer todo esto, pero habría visto uno de esos grandes certificados sin advertencias auténticas.
Espero que ayude!