Wireshark pode ver fora da máquina virtual?

Outras pessoas deram boas respostas, mas parece que ninguém respondeu a essa parte:

How can it do this if it's inside a virtual machine?

No modo "em ponte", o VMWare oferece ao convidado um acesso de baixo nível à interface de rede. Isso é potencialmente um privilégio inseguro a ser dado ao convidado, já que ele poderia espionar a atividade de rede do host ou até mesmo em outros hosts na mesma rede.

É por isso que o VMWare avisa sobre "a tentativa de monitorar o tráfego" - a VMWare está confirmando com você que não há problema em fornecer esse privilégio para o convidado.

A maioria dos gerentes de MV comerciais usa como padrão a rede compartilhada, o que permite que a VM compartilhe todas as interfaces de rede do host ou a rede em ponte, o que permite que a VM compartilhe uma determinada interface de rede do host. Para restringir isso, mude a VM para rede "somente host"; você terá que usar algum tipo de arranjo NAT para a VM se comunicar com o mundo exterior.

As configurações de rede da máquina virtual provavelmente estão no modo de ponte, o que significa que ela recebe um endereço IP roteável na sua LAN, assim como o próprio Mac. Com esta configuração, o modo promíscuo no Wireshark pode ver exatamente o que sua estação de trabalho Mac vê. Somente host ou rede interna ocultará o tráfego externo.